RA Group Ransomware
RA Group Ransomware atakuje organizacje poprzez szyfrowanie znacznej ilości istotnych danych. Zagrożenie modyfikuje również oryginalne nazwy plików, na które ma wpływ. Każdy atak przeprowadzony przez RA Group może wiązać się z unikalnym żądaniem okupu, zazwyczaj o nazwie „How To Restore Your Files.txt”, które prawdopodobnie zostało specjalnie przygotowane dla atakowanej firmy lub organizacji. Podobnie Grupa RA może również dodawać różne rozszerzenia do nazw plików zaszyfrowanych dla każdej innej ofiary.
W jednym potwierdzonym przypadku RA Group Ransomware dodało rozszerzenie „.GAGUP” do zaszyfrowanych plików. Warto zauważyć, że zagrożenie RA Group jest znane z wykorzystywania procesu szyfrowania opartego na ujawnionym kodzie źródłowym znanego zagrożenia Babuk Ransomware . Babuk, operacja ransomware, która zakończyła swoją działalność w 2021 roku, posłużyła jako podstawa do rozwoju technik szyfrowania RA Group.
RA Group Ransomware stwarza poważne zagrożenie dla danych ofiar
Żądanie okupu, skierowane do ofiar ransomware RA Group, zawiera jasny komunikat, że ich dane zostały zaszyfrowane. Ponadto cyberprzestępcy twierdzą, że przenieśli kopie wszystkich przejętych danych na swój serwer, co w praktyce czyni atak operacją podwójnego wymuszenia. Takie metody zapewniają, że ofiary spełnią żądania napastników.
W dalszej części notatka wyjaśnia sytuację, podkreślając, że napastnicy przejęli dane ofiar i zaszyfrowali ich serwery. Zapewnia ofiary, że zaszyfrowane pliki można odszyfrować, co sugeruje, że istnieje możliwość odzyskania ich danych. Ponadto notatka stwierdza, że po spełnieniu wymagań atakujących zapisane dane zostaną trwale usunięte. Zawiera również listę różnych typów danych, do których atakujący mieli dostęp podczas naruszenia.
Aby zainicjować proces odszyfrowywania, ofiary są instruowane, aby nawiązały kontakt z atakującymi i zapłaciły okup. Preferowaną metodą komunikacji określoną w notatce jest qTox, a ofiarom przekazywany jest określony identyfikator qTox. Notatka wyraźnie ostrzega przed kontaktowaniem się z atakującymi za pośrednictwem innych firm pośredniczących, sugerując, że atakujący są wyłącznie zainteresowani czerpaniem korzyści z sytuacji i zniechęcając osoby trzecie do zaangażowania.
Jeśli chodzi o konsekwencje niezgodności, żądanie okupu wskazuje, że jeśli w ciągu trzech dni nie zostanie nawiązany kontakt, napastnicy upublicznią przykładowe pliki, aby wywrzeć presję na ofiary. Co więcej, jeśli ofiary nadal nie nawiążą kontaktu w ciągu siedmiu dni, notatka grozi upublicznieniem wszystkich zaszyfrowanych plików. Aby uzyskać dostęp do dodatkowych informacji, ofiarom zaleca się korzystanie z przeglądarki Tor, która jest znana z funkcji anonimowości.
Podejmij poważne podejście do bezpieczeństwa swoich urządzeń i danych
Użytkownicy mogą zastosować kilka środków, aby skutecznie chronić swoje urządzenia i dane przed infekcjami ransomware. Po pierwsze, kluczowe znaczenie ma utrzymywanie aktualnego i niezawodnego oprogramowania zabezpieczającego na ich urządzeniach. Obejmuje to korzystanie z niezawodnego oprogramowania chroniącego przed złośliwym oprogramowaniem, które może wykrywać i blokować zagrożenia ransomware. Ponadto aktualizowanie systemu operacyjnego, aplikacji i oprogramowania układowego za pomocą najnowszych poprawek i aktualizacji zabezpieczeń jest niezbędne, aby wyeliminować wszelkie luki w zabezpieczeniach, które może wykorzystywać oprogramowanie ransomware.
Innym podstawowym środkiem jest zachowanie ostrożności i czujności podczas przeglądania Internetu i otwierania załączników do wiadomości e-mail. Użytkownicy powinni uważać na podejrzane e-maile, linki lub załączniki z nieznanych źródeł, ponieważ często mogą one służyć jako punkty wejścia dla infekcji ransomware. Zaleca się sprawdzanie autentyczności wiadomości e-mail i załączników przed interakcją z nimi, zwłaszcza jeśli wydają się niezwykłe lub nieoczekiwane.
Regularne tworzenie kopii zapasowych odpowiednich danych jest kluczowym aspektem ochrony przed oprogramowaniem ransomware. Tworzenie kopii zapasowych niezbędnych plików w trybie offline i przechowywanie ich na osobnych urządzeniach lub rozwiązaniach do przechowywania w chmurze pomaga zapewnić możliwość odzyskania danych w przypadku ataku ransomware. Ważne jest, aby zachować wiele kopii zapasowych i upewnić się, że są one bezpiecznie przechowywane, aby zapobiec nieautoryzowanemu dostępowi.
Włączenie dodatkowych środków bezpieczeństwa, takich jak zapora ogniowa, systemy wykrywania włamań i ograniczenie uprawnień użytkownika, może stworzyć dodatkową warstwę ochrony przed oprogramowaniem ransomware. Wdrożenie silnych, wyłącznych haseł i włączenie uwierzytelniania dwuskładnikowego może pomóc w zapobieganiu nieautoryzowanemu dostępowi do urządzeń i kont.
Treść żądania okupu upuszczonego przez RA Group Ransomware to:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
