RA Group Ransomware
RA Group Ransomware nhắm mục tiêu các tổ chức bằng cách mã hóa một lượng đáng kể dữ liệu cần thiết. Mối đe dọa cũng sửa đổi tên ban đầu của các tệp bị ảnh hưởng. Mỗi cuộc tấn công do RA Group thực hiện có thể bao gồm một ghi chú đòi tiền chuộc duy nhất, thường có tên là 'Cách khôi phục tệp.txt của bạn', có khả năng được tạo riêng cho công ty hoặc tổ chức bị nhắm mục tiêu. Tương tự, Nhóm RA cũng có thể nối thêm một phần mở rộng khác vào tên tệp của các tệp được mã hóa cho từng nạn nhân khác nhau.
Trong một trường hợp đã được xác nhận, RA Group Ransomware đã thêm phần mở rộng '.GAGUP' vào các tệp được mã hóa. Đáng chú ý, mối đe dọa RA Group được biết đến với việc sử dụng quy trình mã hóa dựa trên mã nguồn bị rò rỉ của mối đe dọa Ransomware Babuk khét tiếng. Babuk, một hoạt động ransomware đã ngừng hoạt động vào năm 2021, là nền tảng cho sự phát triển các kỹ thuật mã hóa của RA Group.
RA Group Ransomware gây nguy hiểm nghiêm trọng cho dữ liệu nạn nhân
Thông báo đòi tiền chuộc, được gửi tới các nạn nhân của RA Group Ransomware, đưa ra một thông điệp rõ ràng rằng dữ liệu của họ đã được mã hóa. Ngoài ra, tội phạm mạng tuyên bố đã trích xuất các bản sao của tất cả dữ liệu bị xâm nhập vào máy chủ của chúng, khiến cuộc tấn công trở thành một hoạt động tống tiền kép. Những phương pháp như vậy đảm bảo rằng các nạn nhân sẽ tuân theo yêu cầu của những kẻ tấn công.
Ghi chú tiếp tục đưa ra lời giải thích về tình huống, nhấn mạnh rằng những kẻ tấn công đã lấy dữ liệu của nạn nhân và mã hóa máy chủ của họ. Nó đảm bảo với các nạn nhân rằng các tệp được mã hóa có thể được giải mã, ngụ ý rằng có khả năng khôi phục dữ liệu của họ. Hơn nữa, lưu ý nói rằng một khi các yêu cầu của kẻ tấn công được đáp ứng, dữ liệu đã lưu sẽ bị xóa vĩnh viễn. Nó cũng liệt kê các loại dữ liệu khác nhau mà kẻ tấn công đã truy cập trong quá trình vi phạm.
Để bắt đầu quá trình giải mã, các nạn nhân được hướng dẫn thiết lập liên hệ với những kẻ tấn công và thanh toán tiền chuộc. Phương thức liên lạc ưu tiên được chỉ định trong ghi chú là thông qua qTox và ID qTox cụ thể được cung cấp cho nạn nhân. Ghi chú cảnh báo rõ ràng không nên liên hệ với những kẻ tấn công thông qua các công ty trung gian khác, cho thấy rằng những kẻ tấn công chỉ quan tâm đến việc thu lợi từ tình huống và không khuyến khích bất kỳ sự tham gia nào của bên thứ ba.
Về hậu quả của việc không tuân thủ, lưu ý đòi tiền chuộc chỉ ra rằng nếu không có liên hệ nào được thiết lập trong vòng ba ngày, những kẻ tấn công sẽ công khai các tệp mẫu như một phương tiện gây áp lực cho nạn nhân. Hơn nữa, nếu nạn nhân vẫn không thiết lập được liên lạc trong vòng bảy ngày, ghi chú đe dọa sẽ tiết lộ công khai tất cả các tệp được mã hóa. Để truy cập thông tin bổ sung, các nạn nhân nên sử dụng Trình duyệt Tor, được biết đến với các tính năng ẩn danh.
Thực hiện một cách tiếp cận nghiêm túc đối với sự an toàn của thiết bị và dữ liệu của bạn
Người dùng có thể áp dụng một số biện pháp để bảo vệ thiết bị và dữ liệu của họ khỏi bị lây nhiễm ransomware một cách hiệu quả. Đầu tiên, việc duy trì phần mềm bảo mật cập nhật và mạnh mẽ trên thiết bị của họ là rất quan trọng. Điều này bao gồm việc sử dụng phần mềm chống phần mềm độc hại đáng tin cậy có thể phát hiện và chặn các mối đe dọa ransomware. Ngoài ra, việc cập nhật hệ điều hành, ứng dụng và chương trình cơ sở với các bản vá và cập nhật bảo mật mới nhất là điều cần thiết để giải quyết mọi lỗ hổng mà ransomware có thể khai thác.
Một biện pháp cơ bản khác là thận trọng và cảnh giác khi duyệt Internet và mở các tệp đính kèm email. Người dùng nên cảnh giác với các email, liên kết hoặc tệp đính kèm đáng ngờ từ các nguồn không xác định, vì những thứ này thường có thể đóng vai trò là điểm xâm nhập để lây nhiễm ransomware. Bạn nên kiểm tra tính xác thực của email và tệp đính kèm trước khi tương tác với chúng, đặc biệt nếu chúng có vẻ bất thường hoặc không mong muốn.
Thường xuyên sao lưu dữ liệu liên quan là một khía cạnh quan trọng của việc bảo vệ phần mềm tống tiền. Tạo bản sao lưu ngoại tuyến của các tệp cần thiết và lưu trữ chúng trên các thiết bị riêng biệt hoặc giải pháp lưu trữ đám mây giúp đảm bảo rằng dữ liệu có thể được khôi phục trong trường hợp bị mã độc tống tiền tấn công. Điều quan trọng là duy trì nhiều bản sao lưu và đảm bảo chúng được lưu trữ an toàn để ngăn chặn truy cập trái phép.
Kích hoạt các biện pháp bảo mật bổ sung như bảo vệ tường lửa, hệ thống phát hiện xâm nhập và hạn chế đặc quyền của người dùng có thể tạo thêm một lớp bảo vệ chống lại phần mềm tống tiền. Triển khai mật khẩu mạnh, dành riêng và cho phép xác thực hai yếu tố có thể giúp ngăn chặn truy cập trái phép vào thiết bị và tài khoản.
Nội dung của thông báo đòi tiền chuộc do RA Group Ransomware đưa ra là:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
