RA Group Ransomware
Tina-target ng RA Group Ransomware ang mga organisasyon sa pamamagitan ng pag-encrypt ng malaking halaga ng mahahalagang data. Binabago din ng banta ang mga orihinal na pangalan ng mga naapektuhang file. Ang bawat pag-atake na isinasagawa ng RA Group ay maaaring may kasamang natatanging ransom note, karaniwang pinangalanang 'Paano I-restore ang Iyong Files.txt,' na malamang na partikular na ginawa para sa naka-target na kumpanya o organisasyon. Katulad nito, ang RA Group ay maaari ding magdagdag ng ibang extension sa mga filename ng mga naka-encrypt na file para sa bawat magkakaibang biktima.
Sa isang kumpirmadong pagkakataon, idinagdag ng RA Group Ransomware ang extension na '.GAGUP' sa mga naka-encrypt na file. Kapansin-pansin, ang banta ng RA Group ay kilala sa paggamit ng proseso ng pag-encrypt batay sa na-leak na source code ng kilalang Babuk Ransomware na banta. Ang Babuk, isang ransomware operation na huminto sa mga aktibidad nito noong 2021, ay nagsilbing pundasyon para sa pagbuo ng mga diskarte sa pag-encrypt ng RA Group.
Ang RA Group Ransomware ay Nagdudulot ng Malubhang Panganib sa Data ng mga Biktima
Ang ransom note, na naka-address sa mga biktima ng RA Group Ransomware, ay naghahatid ng malinaw na mensahe na ang kanilang data ay na-encrypt. Bilang karagdagan, sinasabi ng mga cybercriminal na nag-exfiltrate ng mga kopya ng lahat ng nakompromisong data sa kanilang server, na epektibong ginagawang double-extortion ang pag-atake. Tinitiyak ng ganitong mga pamamaraan na susundin ng mga biktima ang mga kahilingan ng mga umaatake.
Ang tala ay nagpapatuloy upang magbigay ng paliwanag sa sitwasyon, na nagbibigay-diin na kinuha ng mga umaatake ang data ng mga biktima at na-encrypt ang kanilang mga server. Tinitiyak nito sa mga biktima na ang mga naka-encrypt na file ay maaaring i-decrypt, na nagpapahiwatig na may posibilidad na mabawi ang kanilang data. Higit pa rito, ang tala ay nagsasaad na kapag natugunan ang mga kinakailangan ng mga umaatake, ang naka-save na data ay permanenteng tatanggalin. Inililista din nito ang iba't ibang uri ng data na na-access ng mga umaatake sa panahon ng paglabag.
Upang simulan ang proseso ng pag-decryption, inutusan ang mga biktima na makipag-ugnayan sa mga umaatake at magbayad ng ransom. Ang gustong paraan ng komunikasyon na tinukoy sa tala ay sa pamamagitan ng qTox, at isang partikular na qTox ID ang ibinibigay sa mga biktima. Ang tala ay tahasang nagbabala laban sa pakikipag-ugnayan sa mga umaatake sa pamamagitan ng iba pang mga kumpanyang tagapamagitan, na nagmumungkahi na ang mga umaatake ay interesado lamang na kumita mula sa sitwasyon at hinihikayat ang anumang paglahok ng third-party.
Sa mga tuntunin ng mga kahihinatnan para sa hindi pagsunod, ang ransom note ay nagpapahiwatig na kung walang pakikipag-ugnayan na maitatag sa loob ng tatlong araw, isasapubliko ng mga umaatake ang mga sample na file bilang isang paraan ng paggigipit sa mga biktima. Higit pa rito, kung mabibigo pa rin ang mga biktima na makipag-ugnayan sa loob ng pitong araw, nagbabanta ang tala na ilalabas sa publiko ang lahat ng naka-encrypt na file. Upang ma-access ang karagdagang impormasyon, pinapayuhan ang mga biktima na gamitin ang Tor Browser, na kilala sa mga tampok na anonymity nito.
Gumawa ng Seryosong Diskarte Tungo sa Kaligtasan ng Iyong Mga Device at Data
Ang mga user ay maaaring magpatibay ng ilang hakbang upang maprotektahan ang kanilang mga device at data laban sa mga impeksyon ng ransomware nang epektibo. Una, ang pagpapanatili ng up-to-date at matatag na software ng seguridad sa kanilang mga device ay mahalaga. Kabilang dito ang paggamit ng maaasahang anti-malware software na maaaring makakita at harangan ang mga banta ng ransomware. Bukod pa rito, ang pagpapanatiling updated sa operating system, mga application, at firmware sa mga pinakabagong patch at update sa seguridad ay mahalaga upang matugunan ang anumang mga kahinaan na maaaring pagsamantalahan ng ransomware.
Ang isa pang pangunahing hakbang ay ang pag-iingat at pagbabantay habang nagba-browse sa Internet at nagbubukas ng mga email attachment. Dapat na maging maingat ang mga user sa mga kahina-hinalang email, link, o attachment mula sa hindi kilalang pinagmulan, dahil madalas itong nagsisilbing entry point para sa mga impeksyon sa ransomware. Maipapayo na suriin ang pagiging tunay ng mga email at attachment bago makipag-ugnayan sa kanila, lalo na kung tila hindi karaniwan o hindi inaasahan ang mga ito.
Ang regular na pag-back up ng nauugnay na data ay isang mahalagang aspeto ng proteksyon ng ransomware. Ang paggawa ng mga offline na backup ng mga kinakailangang file at pag-iimbak ng mga ito sa magkahiwalay na mga device o mga solusyon sa cloud storage ay nakakatulong upang matiyak na mababawi ang data sa kaganapan ng pag-atake ng ransomware. Mahalagang mapanatili ang maraming kopya ng mga backup at tiyaking ligtas na nakaimbak ang mga ito upang maiwasan ang hindi awtorisadong pag-access.
Ang pagpapagana ng mga karagdagang hakbang sa seguridad gaya ng proteksyon ng firewall, intrusion detection system, at paghihigpit sa mga pribilehiyo ng user ay maaaring lumikha ng karagdagang layer ng depensa laban sa ransomware. Ang pagpapatupad ng malakas, eksklusibong mga password at pagpapagana ng two-factor authentication ay makakatulong na maiwasan ang hindi awtorisadong pag-access sa mga device at account.
Ang teksto ng ransom note na ibinagsak ng RA Group Ransomware ay:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
