RA Group Ransomware Baseret på Babuk Code

RA Group er en type ransomware, der udfører datakryptering, ændrer filnavne og leverer en specifik løsesumseddel. Hvert angreb involverer en tilpasset løsesum note med titlen "How To Restore Your Files.txt", skræddersyet til den målrettede organisation eller virksomhed. Det samme niveau af tilpasning kan gælde for filtypenavne, der er tilføjet til de krypterede filers filnavne.

En af filtypenavnene observeret fra RA Group ransomware var ".GAGUP." Navnlig er RA Group kendt for at bruge en kryptering bygget på den lækkede kildekode fra Babuk ransomware-gruppen, som havde indstillet sine aktiviteter i 2021.

Løsesedlen tjener til at informere ofret om kryptering af deres data og angribernes handlinger med at lave kopier af dataene på deres server for at sikre dets integritet og fortrolighed, hvis deres krav bliver opfyldt.

Notatet forklarer, at angriberne har beslaglagt ofrets data og krypteret deres servere, hvilket fremhæver muligheden for at dekryptere de krypterede filer. Den nævner, at de gemte data vil blive slettet permanent, når angribernes krav er opfyldt, og den viser forskellige typer data, som angriberne har fået adgang til.

Offeret bliver bedt om at kontakte angriberne og foretage en betaling for dekrypteringsprocessen. Kommunikation udføres fortrinsvis via qTox med et givet qTox-id, som offeret kan bruge. Notatet advarer mod at kontakte angriberne via andre kanaler, hvilket antyder, at angriberne udelukkende er interesserede i pengegevinst.

Derudover hedder det i løsesumsedlen, at prøvefiler vil blive offentliggjort, hvis der ikke etableres kontakt inden for tre dage. I tilfælde af manglende svar inden for syv dage, vil alle filer blive frigivet til offentligheden. For at få adgang til yderligere information rådes offeret til at bruge Tor-browseren.

RA Group Ransom Actor er afhængig af Tox Chat for kontakt

Den fulde tekst af RA Groups løsesumseddel lyder som følger:

RA Gruppen

Notifikation
Dine data er blevet krypteret, når du læser dette brev.
Vi har kopieret alle data til vores server.
Men bare rolig, dine data vil ikke blive kompromitteret eller offentliggjort, hvis du gør, hvad jeg vil.

Hvad gjorde vi?
Vi tog dine data og krypterede dine servere, krypterede filer kan dekrypteres.
Vi havde gemt dine data korrekt, vi sletter de gemte data, hvis du opfylder vores krav.
Vi tog følgende data:
[redigeret] Dokumenter
leverandøroplysninger
kundeoplysninger, betalingsoplysninger
medarbejderinformation, Løn
regnskab
moms
regnskaber
finansiel årsrapport, kvartalsrapport
[redigeret] KONTRAKT
forretningsplan
kontrakt
fakturaer
vtex info
medarbejders interne e-mail backup

Hvad vil vi?
Kontakt os, betal for dekryptering.

Hvordan kontakte os?
Vi bruger qTox til at kontakte, du kan få mere information fra qTox kontorwebsted:
hxxps://qtox.github.io

Vores qTox ID er:
(alfanumerisk streng)

Vi har ingen anden kontakt.
Hvis der ikke er nogen kontakt inden for 3 dage, offentliggør vi eksempelfiler.
Hvis der ikke er nogen kontakt inden for 7 dage, offentliggør vi filen.

Anbefale
Kontakt os ikke gennem andre virksomheder, de tjener bare forskellen.

Informationsfrigivelse
Eksempelfiler:

Alle filer:

Du kan bruge Tor Browser til at åbne .onion url.
Få flere oplysninger fra Tor office-webside:
hxxps://www.torproject.org

Hvad kan du gøre for at beskytte dine data mod ransomware som RA Group?

Beskyttelse af dine data mod ransomware-angreb som RA Group er afgørende for at beskytte dine oplysninger og forhindre potentiel skade. Her er nogle foranstaltninger, du kan tage for at forbedre din databeskyttelse:

Sikkerhedskopier dine data: Sikkerhedskopier jævnligt dine vigtige data, og sørg for, at sikkerhedskopierne opbevares sikkert offline eller i et separat netværk. På denne måde, selvom dine data bliver krypteret af ransomware, kan du gendanne dem fra sikkerhedskopier uden at betale løsesum.

Hold din software opdateret: Installer softwareopdateringer og sikkerhedsrettelser med det samme. Forældet software indeholder ofte sårbarheder, der kan udnyttes af ransomware. Aktiver automatiske opdateringer når det er muligt for at sikre rettidig beskyttelse.

Brug robuste sikkerhedsløsninger: Implementer pålidelig antivirus- eller anti-malware-software på alle dine enheder. Hold disse sikkerhedsløsninger opdaterede, og udfør regelmæssige scanninger for at opdage potentielle trusler.

Vær ekstra forsigtig med vedhæftede filer og links: Vær forsigtig, når du åbner vedhæftede filer eller klikker på links, især fra ukendte kilder. Ransomware spredes ofte gennem phishing-e-mails, så bekræft afsenderens identitet og scan vedhæftede filer med sikkerhedssoftware, før du åbner dem.

Aktiver stærke og unikke adgangskoder: Brug stærke adgangskoder til alle dine konti og undgå at genbruge dem. Overvej at undersøge en adgangskodeadministrator for at opbevare og administrere dine adgangskoder sikkert. Aktiver multi-faktor godkendelse (MFA) når det er muligt for at tilføje et ekstra lag af sikkerhed.