RA Group Ransomware

RA Group Ransomware sa zameriava na organizácie šifrovaním značného množstva základných údajov. Hrozba tiež upravuje pôvodné názvy ovplyvnených súborov. Každý útok vykonaný RA Group môže zahŕňať jedinečnú výkupnú poznámku, zvyčajne s názvom „How To Restore Your Files.txt“, ktorá je pravdepodobne špeciálne vytvorená pre cieľovú spoločnosť alebo organizáciu. Podobne môže skupina RA tiež pridať inú príponu k názvom súborov šifrovaných súborov pre každú inú obeť.

V jednom potvrdenom prípade RA Group Ransomware pridal k zašifrovaným súborom príponu '.GAGUP'. Hrozba RA Group je známa najmä tým, že využíva proces šifrovania založený na uniknutom zdrojovom kóde notoricky známej hrozby Babuk Ransomware . Babuk, operácia ransomvéru, ktorá ukončila svoju činnosť v roku 2021, slúžila ako základ pre vývoj šifrovacích techník skupiny RA.

Ransomvér skupiny RA predstavuje vážne nebezpečenstvo pre údaje obetí

Výkupné, adresované obetiam RA Group Ransomware, prináša jasnú správu, že ich údaje boli zašifrované. Okrem toho kyberzločinci tvrdia, že preniesli kópie všetkých napadnutých údajov na svoj server, čím sa z útoku stala operácia dvojitého vydierania. Takéto metódy zabezpečujú, že obete vyhovejú požiadavkám útočníkov.

Poznámka ďalej poskytuje vysvetlenie situácie, pričom zdôrazňuje, že útočníci vzali dáta obetí a zašifrovali ich servery. Uisťuje obete, že zašifrované súbory možno dešifrovať, čo znamená, že existuje možnosť obnovenia ich údajov. Ďalej sa v poznámke uvádza, že po splnení požiadaviek útočníkov budú uložené dáta natrvalo vymazané. Uvádza tiež rôzne typy údajov, ku ktorým mali útočníci prístup počas narušenia.

Na spustenie procesu dešifrovania sú obete inštruované, aby nadviazali kontakt s útočníkmi a zaplatili výkupné. Preferovaný spôsob komunikácie špecifikovaný v poznámke je cez qTox a obetiam sa poskytne špecifické qTox ID. Poznámka výslovne varuje pred kontaktovaním útočníkov prostredníctvom iných sprostredkovateľských spoločností, čo naznačuje, že útočníkom ide výlučne o profitovanie zo situácie a odrádzanie od akejkoľvek účasti tretích strán.

Čo sa týka dôsledkov za nedodržanie, výkupné uvádza, že ak nedôjde k nadviazaniu kontaktu do troch dní, útočníci zverejnia vzorové súbory ako prostriedok nátlaku na obete. Okrem toho, ak sa obetiam ani potom nepodarí nadviazať kontakt do siedmich dní, oznam im hrozí zverejnením všetkých zašifrovaných súborov. Na prístup k ďalším informáciám sa obetiam odporúča použiť prehliadač Tor, ktorý je známy svojimi funkciami anonymity.

Pristupujte vážne k bezpečnosti svojich zariadení a údajov

Používatelia môžu prijať niekoľko opatrení na účinnú ochranu svojich zariadení a údajov pred infekciami ransomware. Po prvé, udržiavanie aktuálneho a robustného bezpečnostného softvéru na ich zariadeniach je kľúčové. To zahŕňa používanie spoľahlivého antimalvérového softvéru, ktorý dokáže odhaliť a blokovať hrozby ransomvéru. Udržiavanie operačného systému, aplikácií a firmvéru aktualizované pomocou najnovších bezpečnostných opráv a aktualizácií je navyše nevyhnutné na riešenie akýchkoľvek zraniteľností, ktoré môže ransomvér zneužiť.

Ďalším základným opatrením je opatrnosť a ostražitosť pri prehliadaní internetu a otváraní e-mailových príloh. Používatelia by si mali dávať pozor na podozrivé e-maily, odkazy alebo prílohy z neznámych zdrojov, pretože tie môžu často slúžiť ako vstupné body pre infekcie ransomvérom. Odporúča sa skontrolovať pravosť e-mailov a príloh pred interakciou s nimi, najmä ak sa zdajú nezvyčajné alebo neočakávané.

Pravidelné zálohovanie relevantných údajov je kľúčovým aspektom ochrany proti ransomvéru. Vytváranie offline záloh potrebných súborov a ich ukladanie na samostatné zariadenia alebo riešenia cloudových úložísk pomáha zabezpečiť, aby bolo možné obnoviť údaje v prípade útoku ransomware. Je dôležité udržiavať viacero kópií záloh a zaistiť ich bezpečné uloženie, aby sa zabránilo neoprávnenému prístupu.

Povolenie dodatočných bezpečnostných opatrení, ako je ochrana brány firewall, systémy detekcie narušenia a obmedzenie používateľských práv, môže vytvoriť ďalšiu vrstvu ochrany proti ransomvéru. Implementácia silných, exkluzívnych hesiel a umožnenie dvojfaktorovej autentifikácie môže pomôcť zabrániť neoprávnenému prístupu k zariadeniam a účtom.

Text oznámenia o výkupnom, ktorý upustil RA Group Ransomware, je:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'