RA Group Ransomware
Izsiljevalska programska oprema skupine RA cilja na organizacije s šifriranjem znatne količine bistvenih podatkov. Grožnja prav tako spremeni izvirna imena prizadetih datotek. Vsak napad, ki ga izvede skupina RA, lahko vključuje edinstveno obvestilo o odkupnini, običajno imenovano »Kako obnoviti vaše datoteke.txt«, ki je verjetno izdelano posebej za ciljno podjetje ali organizacijo. Podobno lahko skupina RA doda drugačno končnico imenom šifriranih datotek za vsako posamezno žrtev.
V enem potrjenem primeru je izsiljevalska programska oprema skupine RA dodala pripono '.GAGUP' šifriranim datotekam. Predvsem je grožnja skupine RA znana po uporabi procesa šifriranja, ki temelji na razkriti izvorni kodi zloglasne grožnje Babuk Ransomware . Babuk, operacija izsiljevalske programske opreme, ki je prenehala delovati leta 2021, je služila kot temelj za razvoj šifrirnih tehnik skupine RA.
Izsiljevalska programska oprema skupine RA predstavlja resno nevarnost za podatke o žrtvah
Obvestilo o odkupnini, naslovljeno na žrtve izsiljevalske programske opreme skupine RA, daje jasno sporočilo, da so bili njihovi podatki šifrirani. Poleg tega kibernetski kriminalci trdijo, da so kopije vseh ogroženih podatkov prenesli na svoj strežnik, zaradi česar je napad dejansko operacija dvojnega izsiljevanja. Takšne metode zagotavljajo, da bodo žrtve ugodile zahtevam napadalcev.
Opomba nadaljuje z razlago situacije in poudarja, da so napadalci vzeli podatke žrtev in šifrirali njihove strežnike. Žrtvam zagotavlja, da je mogoče šifrirane datoteke dešifrirati, kar pomeni, da obstaja možnost obnovitve njihovih podatkov. Poleg tega opomba navaja, da bodo shranjeni podatki trajno izbrisani, ko bodo izpolnjene zahteve napadalcev. Navaja tudi različne vrste podatkov, do katerih so napadalci dostopali med vdorom.
Za začetek postopka dešifriranja se žrtvam naroči, naj vzpostavijo stik z napadalci in plačajo odkupnino. Najprimernejši način komunikacije, naveden v opombi, je prek qTox, žrtvam pa se zagotovi poseben ID qTox. Opomba izrecno svari pred vzpostavljanjem stika z napadalci prek drugih posredniških podjetij, kar nakazuje, da so napadalci zainteresirani izključno za pridobivanje dobička iz situacije in odvračanje kakršne koli vpletenosti tretjih oseb.
Kar zadeva posledice neupoštevanja, obvestilo o odkupnini navaja, da če v treh dneh ne bo vzpostavljen stik, bodo napadalci javno objavili vzorčne datoteke kot sredstvo pritiska na žrtve. Poleg tega, če žrtve še vedno ne vzpostavijo stika v sedmih dneh, sporočilo grozi z javno objavo vseh šifriranih datotek. Za dostop do dodatnih informacij se žrtvam svetuje uporaba brskalnika Tor, ki je znan po svojih funkcijah anonimnosti.
Resno pristopite k varnosti svojih naprav in podatkov
Uporabniki lahko sprejmejo več ukrepov za učinkovito zaščito svojih naprav in podatkov pred okužbami z izsiljevalsko programsko opremo. Prvič, ključnega pomena je vzdrževanje posodobljene in robustne varnostne programske opreme na njihovih napravah. To vključuje uporabo zanesljive programske opreme proti zlonamerni programski opremi, ki lahko zazna in blokira grožnje izsiljevalske programske opreme. Poleg tega je posodabljanje operacijskega sistema, aplikacij in vdelane programske opreme z najnovejšimi varnostnimi popravki in posodobitvami bistvenega pomena za odpravljanje morebitnih ranljivosti, ki jih lahko izkorišča izsiljevalska programska oprema.
Drug temeljni ukrep je previdnost in pazljivost med brskanjem po internetu in odpiranjem e-poštnih priponk. Uporabniki bi morali biti previdni pri sumljivih e-poštnih sporočilih, povezavah ali prilogah iz neznanih virov, saj lahko pogosto služijo kot vstopne točke za okužbe z izsiljevalsko programsko opremo. Priporočljivo je, da preverite pristnost e-poštnih sporočil in prilog, preden komunicirate z njimi, še posebej, če se zdijo nenavadne ali nepričakovane.
Redno varnostno kopiranje ustreznih podatkov je ključni vidik zaščite pred izsiljevalsko programsko opremo. Ustvarjanje varnostnih kopij potrebnih datotek brez povezave in njihovo shranjevanje v ločenih napravah ali rešitvah za shranjevanje v oblaku pomaga zagotoviti, da je podatke mogoče obnoviti v primeru napada izsiljevalske programske opreme. Pomembno je vzdrževati več kopij varnostnih kopij in zagotoviti, da so varno shranjene, da preprečite nepooblaščen dostop.
Omogočanje dodatnih varnostnih ukrepov, kot so zaščita požarnega zidu, sistemi za zaznavanje vdorov in omejevanje privilegijev uporabnikov, lahko ustvari dodatno raven obrambe pred izsiljevalsko programsko opremo. Implementacija močnih, ekskluzivnih gesel in omogočanje dvostopenjske avtentikacije lahko pomaga preprečiti nepooblaščen dostop do naprav in računov.
Besedilo obvestila o odkupnini, ki ga je odvrgla izsiljevalska programska oprema RA Group, je:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
