RA Group Ransomware

RA Group Ransomware กำหนดเป้าหมายองค์กรโดยเข้ารหัสข้อมูลสำคัญจำนวนมาก ภัยคุกคามยังแก้ไขชื่อเดิมของไฟล์ที่ได้รับผลกระทบด้วย การโจมตีแต่ละครั้งที่ดำเนินการโดย RA Group อาจเกี่ยวข้องกับบันทึกเรียกค่าไถ่ที่ไม่ซ้ำกัน ซึ่งโดยทั่วไปจะเรียกว่า 'How To Restore Your Files.txt' ซึ่งน่าจะสร้างขึ้นมาโดยเฉพาะสำหรับบริษัทหรือองค์กรเป้าหมาย ในทำนองเดียวกัน RA Group ยังอาจเพิ่มนามสกุลที่แตกต่างกันให้กับชื่อไฟล์ของไฟล์ที่เข้ารหัสสำหรับเหยื่อแต่ละราย

ในตัวอย่างหนึ่งที่ได้รับการยืนยัน RA Group Ransomware ได้เพิ่มส่วนขยาย '.GAGUP' ลงในไฟล์ที่เข้ารหัส โดยเฉพาะอย่างยิ่ง ภัยคุกคาม RA Group เป็นที่รู้จักกันดีว่าใช้กระบวนการเข้ารหัสตามซอร์สโค้ดที่รั่วไหลของภัยคุกคาม Babuk Ransomware ที่มีชื่อเสียง Babuk ปฏิบัติการแรนซั่มแวร์ที่หยุดดำเนินการในปี 2564 ทำหน้าที่เป็นรากฐานสำหรับการพัฒนาเทคนิคการเข้ารหัสของ RA Group

แรนซัมแวร์ RA Group ก่อให้เกิดอันตรายอย่างร้ายแรงต่อข้อมูลของเหยื่อ

ข้อความเรียกค่าไถ่ที่ส่งถึงผู้ที่ตกเป็นเหยื่อของ RA Group Ransomware ส่งข้อความที่ชัดเจนว่าข้อมูลของพวกเขาได้รับการเข้ารหัส นอกจากนี้ อาชญากรไซเบอร์อ้างว่าได้คัดลอกสำเนาของข้อมูลที่ถูกบุกรุกทั้งหมดไปยังเซิร์ฟเวอร์ของตน ทำให้การโจมตีเป็นการขู่กรรโชกซ้ำซ้อนอย่างมีประสิทธิภาพ วิธีการดังกล่าวทำให้มั่นใจได้ว่าผู้ที่ตกเป็นเหยื่อจะปฏิบัติตามข้อเรียกร้องของผู้โจมตี

ข้อความดังกล่าวให้คำอธิบายเกี่ยวกับสถานการณ์ โดยเน้นย้ำว่าผู้โจมตีได้นำข้อมูลของเหยื่อและเข้ารหัสเซิร์ฟเวอร์ของตน ทำให้เหยื่อมั่นใจว่าสามารถถอดรหัสไฟล์ที่เข้ารหัสได้ ซึ่งหมายความว่ามีความเป็นไปได้ที่จะกู้คืนข้อมูลของพวกเขาได้ นอกจากนี้ ข้อความยังระบุอีกว่า เมื่อเป็นไปตามข้อกำหนดของผู้โจมตี ข้อมูลที่บันทึกไว้จะถูกลบอย่างถาวร นอกจากนี้ยังแสดงข้อมูลประเภทต่างๆ ที่ผู้โจมตีเข้าถึงระหว่างการละเมิด

เพื่อเริ่มต้นกระบวนการถอดรหัส เหยื่อจะได้รับคำสั่งให้ติดต่อกับผู้โจมตีและชำระเงินค่าไถ่ วิธีการสื่อสารที่แนะนำในบันทึกคือผ่าน qTox และระบุ qTox ID เฉพาะให้กับผู้ที่ตกเป็นเหยื่อ ข้อความเตือนอย่างชัดเจนไม่ให้ติดต่อกับผู้โจมตีผ่านบริษัทตัวกลางอื่นๆ โดยบ่งชี้ว่าผู้โจมตีสนใจแต่เพียงผู้เดียวในการแสวงหาผลประโยชน์จากสถานการณ์ดังกล่าว และกีดกันการมีส่วนร่วมของบุคคลที่สาม

ในแง่ของผลที่ตามมาจากการไม่ปฏิบัติตาม เอกสารเรียกค่าไถ่ระบุว่าหากไม่มีการติดต่อภายในสามวัน ผู้โจมตีจะเผยแพร่ไฟล์ตัวอย่างต่อสาธารณะเพื่อเป็นการกดดันผู้ที่ตกเป็นเหยื่อ นอกจากนี้ หากเหยื่อยังคงติดต่อไม่ได้ภายในเจ็ดวัน ข้อความดังกล่าวยังขู่ว่าจะเผยแพร่ไฟล์ที่เข้ารหัสทั้งหมดสู่สาธารณะ หากต้องการเข้าถึงข้อมูลเพิ่มเติม เหยื่อควรใช้ทอร์เบราเซอร์ ซึ่งเป็นที่ทราบกันดีว่ามีคุณสมบัติไม่เปิดเผยตัวตน

ใช้แนวทางที่จริงจังเพื่อความปลอดภัยของอุปกรณ์และข้อมูลของคุณ

ผู้ใช้สามารถใช้มาตรการต่างๆ เพื่อปกป้องอุปกรณ์และข้อมูลของตนจากการติดแรนซัมแวร์ได้อย่างมีประสิทธิภาพ ประการแรก การบำรุงรักษาซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัยและมีประสิทธิภาพบนอุปกรณ์เป็นสิ่งสำคัญ ซึ่งรวมถึงการใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้ซึ่งสามารถตรวจจับและบล็อกภัยคุกคามแรนซัมแวร์ได้ นอกจากนี้ การอัปเดตระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์ด้วยแพตช์และอัปเดตความปลอดภัยใหม่ล่าสุดเป็นสิ่งสำคัญเพื่อจัดการกับช่องโหว่ใดๆ ที่แรนซัมแวร์อาจโจมตี

มาตรการพื้นฐานอีกประการหนึ่งคือการใช้ความระมัดระวังและความระแวดระวังขณะท่องอินเทอร์เน็ตและเปิดไฟล์แนบอีเมล ผู้ใช้ควรระวังอีเมล ลิงก์ หรือไฟล์แนบที่น่าสงสัยจากแหล่งที่มาที่ไม่รู้จัก เนื่องจากสิ่งเหล่านี้มักจะใช้เป็นจุดเริ่มต้นสำหรับการติดไวรัสแรนซัมแวร์ ขอแนะนำให้ตรวจสอบความถูกต้องของอีเมลและไฟล์แนบก่อนที่จะโต้ตอบ โดยเฉพาะอย่างยิ่งหากดูผิดปกติหรือคาดไม่ถึง

การสำรองข้อมูลที่เกี่ยวข้องเป็นประจำเป็นส่วนสำคัญของการป้องกันแรนซัมแวร์ การสร้างการสำรองข้อมูลแบบออฟไลน์ของไฟล์ที่จำเป็นและจัดเก็บไว้ในอุปกรณ์แยกต่างหากหรือโซลูชันการจัดเก็บข้อมูลบนคลาวด์ช่วยให้มั่นใจได้ว่าข้อมูลสามารถกู้คืนได้ในกรณีที่มีการโจมตีของแรนซัมแวร์ สิ่งสำคัญคือต้องรักษาสำเนาข้อมูลสำรองไว้หลายชุดและตรวจสอบให้แน่ใจว่าจัดเก็บไว้อย่างปลอดภัยเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

การเปิดใช้งานมาตรการรักษาความปลอดภัยเพิ่มเติม เช่น การป้องกันไฟร์วอลล์ ระบบตรวจจับการบุกรุก และการจำกัดสิทธิ์ของผู้ใช้สามารถสร้างการป้องกันอีกชั้นหนึ่งจากแรนซัมแวร์ การใช้รหัสผ่านที่รัดกุมและเป็นเอกสิทธิ์และการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสามารถช่วยป้องกันการเข้าถึงอุปกรณ์และบัญชีโดยไม่ได้รับอนุญาต

ข้อความในบันทึกเรียกค่าไถ่ที่ทิ้งโดย RA Group Ransomware คือ:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'