RA Group Ransomware
RA Group Fidye Yazılımı, önemli miktarda temel veriyi şifreleyerek kuruluşları hedefler. Tehdit, etkilenen dosyaların orijinal adlarını da değiştirir. RA Grubu tarafından gerçekleştirilen her saldırı, hedeflenen şirket veya kuruluş için özel olarak hazırlanmış olması muhtemel, tipik olarak "Files.txt Dosyalarınızı Nasıl Geri Yüklersiniz" adlı benzersiz bir fidye notu içerebilir. Benzer şekilde, RA Grubu, her farklı kurban için şifrelenmiş dosyaların dosya adlarına farklı bir uzantı da ekleyebilir.
Doğrulanmış bir örnekte, RA Group Ransomware şifrelenmiş dosyalara '.GAGUP' uzantısını eklemiştir. Özellikle, RA Grubu tehdidi, kötü şöhretli Babuk Fidye Yazılımı tehdidinin sızdırılmış kaynak koduna dayalı bir şifreleme sürecini kullanmasıyla bilinir. 2021'de faaliyetlerine son veren bir fidye yazılımı operasyonu olan Babuk, RA Group'un şifreleme tekniklerinin geliştirilmesi için temel oluşturdu.
RA Group Fidye Yazılımı, Kurbanların Verileri İçin Ciddi Bir Tehlike Oluşturuyor
RA Group Fidye Yazılımı kurbanlarına gönderilen fidye notu, verilerinin şifrelendiğine dair net bir mesaj veriyor. Buna ek olarak, siber suçlular, güvenliği ihlal edilmiş tüm verilerin kopyalarını sunucularına sızdırdıklarını iddia ederek, saldırıyı etkili bir şekilde çifte gasp operasyonu haline getiriyor. Bu tür yöntemler, mağdurların saldırganların taleplerine uymasını sağlar.
Not, saldırganların kurbanların verilerini aldığını ve sunucularını şifrelediğini vurgulayarak duruma ilişkin bir açıklama sunarak devam ediyor. Kurbanlara, şifrelenmiş dosyaların şifresinin çözülebileceğini garanti ederek, verilerini kurtarma olasılığının olduğunu ima eder. Ayrıca notta, saldırganların gereksinimleri karşılandığında kaydedilen verilerin kalıcı olarak silineceği belirtiliyor. Ayrıca, saldırganların ihlal sırasında eriştiği çeşitli veri türlerini de listeler.
Şifre çözme sürecini başlatmak için kurbanlara saldırganlarla bağlantı kurmaları ve fidye ödemesi yapmaları talimatı verilir. Notta belirtilen tercih edilen iletişim yöntemi qTox'tur ve mağdurlara belirli bir qTox Kimliği sağlanır. Not, saldırganlarla diğer aracı şirketler aracılığıyla iletişime geçilmemesi konusunda açıkça uyarıyor ve saldırganların yalnızca durumdan kâr elde etmekle ilgilendiğini ve herhangi bir üçüncü tarafın müdahalesini caydırdığını öne sürüyor.
Fidye notu, uyumsuzluğun sonuçları açısından, üç gün içinde herhangi bir temas kurulmazsa, kurbanlara baskı yapmak için örnek dosyaları kamuoyuna açıklayacaklarını belirtiyor. Ayrıca, kurbanlar yedi gün içinde yine de iletişim kuramazlarsa, not tüm şifrelenmiş dosyaları herkese açık olarak yayınlamakla tehdit ediyor. Ek bilgilere erişmek için mağdurlara, anonimlik özellikleriyle bilinen Tor Tarayıcı'yı kullanmaları tavsiye edilir.
Cihazlarınızın ve Verilerinizin Güvenliği Konusunda Ciddi Bir Yaklaşım Benimseyin
Kullanıcılar, cihazlarını ve verilerini fidye yazılımı bulaşmalarına karşı etkili bir şekilde korumak için çeşitli önlemler alabilir. İlk olarak, cihazlarında güncel ve sağlam bir güvenlik yazılımı bulundurmak çok önemlidir. Bu, fidye yazılımı tehditlerini algılayabilen ve engelleyebilen güvenilir kötü amaçlı yazılımdan koruma yazılımının kullanılmasını içerir. Ek olarak, fidye yazılımının yararlanabileceği tüm güvenlik açıklarını gidermek için işletim sistemini, uygulamaları ve bellenimi en yeni güvenlik yamaları ve güncellemeleriyle güncel tutmak çok önemlidir.
Diğer bir temel önlem, İnternette gezinirken ve e-posta eklerini açarken dikkatli ve dikkatli olmaktır. Kullanıcılar, bilinmeyen kaynaklardan gelen şüpheli e-postalara, bağlantılara veya eklere karşı dikkatli olmalıdır, çünkü bunlar genellikle fidye yazılımı bulaşmaları için giriş noktaları görevi görebilir. Özellikle alışılmadık veya beklenmedik görünüyorlarsa, onlarla etkileşime geçmeden önce e-postaların ve eklerin doğruluğunu kontrol etmeniz önerilir.
İlgili verileri düzenli olarak yedeklemek, fidye yazılımı korumasının çok önemli bir yönüdür. Gerekli dosyaların çevrimdışı yedeklerini oluşturmak ve bunları ayrı cihazlarda veya bulut depolama çözümlerinde depolamak, bir fidye yazılımı saldırısı durumunda verilerin kurtarılabilmesini sağlamaya yardımcı olur. Yetkisiz erişimi önlemek için birden fazla yedekleme kopyası bulundurmak ve bunların güvenli bir şekilde saklandığından emin olmak önemlidir.
Güvenlik duvarı koruması, izinsiz giriş tespit sistemleri ve kullanıcı ayrıcalıklarının kısıtlanması gibi ek güvenlik önlemlerinin etkinleştirilmesi, fidye yazılımlarına karşı ekstra bir savunma katmanı oluşturabilir. Güçlü, özel parolalar uygulamak ve iki faktörlü kimlik doğrulamayı etkinleştirmek, cihazlara ve hesaplara yetkisiz erişimi önlemeye yardımcı olabilir.
RA Group Ransomware tarafından bırakılan fidye notunun metni şöyledir:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
