RA Group Ransomware
O RA Group Ransomware tem como alvo as organizações criptografando uma quantidade significativa de dados essenciais. A ameaça também modifica os nomes originais dos arquivos afetados. Cada ataque realizado pelo RA Group pode envolver uma nota de resgate exclusiva, geralmente denominada 'How To Restore Your Files.txt', que provavelmente foi criada especificamente para a empresa ou organização visada. Da mesma forma, o RA Group também pode anexar uma extensão diferente aos nomes dos arquivos criptografados para cada vítima diferente.
Em uma instância confirmada, o RA Group Ransomware adicionou a extensão '.GAGUP' aos arquivos criptografados. Notavelmente, a ameaça do RA Group é conhecida por utilizar um processo de criptografia baseado no código-fonte vazado da notória ameaça Babuk Ransomware. O Babuk, uma operação de ransomware que encerrou suas atividades em 2021, serviu de base para o desenvolvimento das técnicas de criptografia do Grupo RA.
O RA Group Ransomware Representa um Sério Perigo para os Dados das Vítimas
A nota de resgate, endereçada às vítimas do RA Group Ransomware, transmite uma mensagem clara de que seus dados foram criptografados. Além disso, os cibercriminosos afirmam ter cópias exfiltradas de todos os dados comprometidos para seu servidor, tornando efetivamente o ataque uma operação de dupla extorsão. Esses métodos garantem que as vítimas cumpram as exigências dos invasores.
A nota explica a situação, enfatizando que os invasores pegaram os dados das vítimas e criptografaram seus servidores. Ele garante às vítimas que os arquivos criptografados podem ser descriptografados, o que implica que existe a possibilidade de recuperar seus dados. Além disso, a nota afirma que, assim que os requisitos dos invasores forem atendidos, os dados salvos serão excluídos permanentemente. Ele também lista os vários tipos de dados que os invasores acessaram durante a violação.
Para iniciar o processo de descriptografia, as vítimas são instruídas a estabelecer contato com os invasores e efetuar o pagamento do resgate. O método preferencial de comunicação especificado na nota é através do qTox, e um ID específico do qTox é fornecido às vítimas. A nota adverte explicitamente contra o contato com os invasores por meio de outras empresas intermediárias, sugerindo que os invasores estão interessados apenas em lucrar com a situação e desencorajar qualquer envolvimento de terceiros.
Em termos de consequências para o incumprimento, a nota de resgate indica que, se não for estabelecido qualquer contacto no prazo de três dias, os atacantes irão tornar públicos os ficheiros de amostra como forma de pressionar as vítimas. Além disso, se as vítimas ainda não conseguirem estabelecer contato em sete dias, a nota ameaça liberar todos os arquivos criptografados publicamente. Para acessar informações adicionais, as vítimas são aconselhadas a usar o navegador Tor, conhecido por seus recursos de anonimato.
Faça uma Abordagem Séria em Relação à Segurança dos Seus Dispositivos e Dados
Os usuários podem adotar várias medidas para proteger seus dispositivos e dados contra infecções por ransomware de forma eficaz. Em primeiro lugar, manter um software de segurança atualizado e robusto em seus dispositivos é crucial. Isso inclui o uso de software antimalware confiável que pode detectar e bloquear ameaças de ransomware. Além disso, manter o sistema operacional, aplicativos e firmware atualizados com os correções e atualizações de segurança mais recentes é essencial para solucionar quaisquer vulnerabilidades que o ransomware possa explorar.
Outra medida fundamental é ter cautela e vigilância ao navegar na Internet e abrir anexos de e-mail. Os usuários devem ter cuidado com e-mails, links ou anexos suspeitos de fontes desconhecidas, pois eles podem servir como pontos de entrada para infecções por ransomware. É aconselhável verificar a autenticidade dos e-mails e anexos antes de interagir com eles, especialmente se parecerem incomuns ou inesperados.
O backup regular de dados relevantes é um aspecto crucial da proteção contra ransomware. Criar backups offline dos arquivos necessários e armazená-los em dispositivos separados ou soluções de armazenamento em nuvem ajuda a garantir que os dados possam ser recuperados no caso de um ataque de ransomware. É importante manter várias cópias de backups e garantir que sejam armazenadas com segurança para evitar o acesso não autorizado.
A ativação de medidas de segurança adicionais, como proteção de firewall, sistemas de detecção de intrusão e restrição de privilégios de usuário, pode criar uma camada extra de defesa contra ransomware. A implementação de senhas fortes e exclusivas e a habilitação da autenticação de dois fatores podem ajudar a impedir o acesso não autorizado a dispositivos e contas.
O texto da nota de resgate lançada pelo RA Group Ransomware é:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
