Ransomware der RA Group basierend auf Babuk-Code

RA Group ist eine Art Ransomware, die Datenverschlüsselung durchführt, Dateinamen ändert und eine bestimmte Lösegeldforderung ausstellt. Bei jedem Angriff handelt es sich um einen individuellen Lösegeldschein mit dem Titel „How To Restore Your Files.txt“, der auf die Zielorganisation oder das Zielunternehmen zugeschnitten ist. Das gleiche Maß an Anpassung kann für die Dateierweiterungen gelten, die an die Dateinamen der verschlüsselten Dateien angehängt werden.

Eine der bei der RA Group-Ransomware beobachteten Dateierweiterungen war „.GAGUP“. Insbesondere ist die RA Group dafür bekannt, einen Verschlüsseler zu verwenden, der auf dem durchgesickerten Quellcode der Babuk-Ransomware-Gruppe basiert, die ihren Betrieb im Jahr 2021 eingestellt hatte.

Der Lösegeldschein dient dazu, das Opfer über die Verschlüsselung seiner Daten und die Maßnahmen der Angreifer zu informieren, Kopien der Daten auf ihrem Server anzufertigen, um deren Integrität und Vertraulichkeit zu gewährleisten, wenn ihren Forderungen entsprochen wird.

In der Notiz wird erklärt, dass die Angreifer die Daten des Opfers beschlagnahmt und ihre Server verschlüsselt haben, wobei die Möglichkeit einer Entschlüsselung der verschlüsselten Dateien hervorgehoben wird. Darin heißt es, dass die gespeicherten Daten dauerhaft gelöscht werden, sobald die Anforderungen der Angreifer erfüllt sind, und listet verschiedene Arten von Daten auf, auf die die Angreifer zugegriffen haben.

Das Opfer wird angewiesen, die Angreifer zu kontaktieren und eine Zahlung für den Entschlüsselungsprozess zu leisten. Die Kommunikation erfolgt vorzugsweise über qTox, wobei dem Opfer eine bereitgestellte qTox-ID zur Verfügung gestellt wird. Die Notiz warnt davor, die Angreifer über andere Kanäle zu kontaktieren, was darauf hindeutet, dass es den Angreifern ausschließlich um Geldgewinne geht.

Darüber hinaus heißt es in der Lösegeldforderung, dass Beispieldateien öffentlich zugänglich gemacht werden, wenn innerhalb von drei Tagen kein Kontakt hergestellt wird. Erfolgt innerhalb von sieben Tagen keine Antwort, werden alle Dateien der Öffentlichkeit zugänglich gemacht. Für den Zugriff auf weitere Informationen wird dem Opfer empfohlen, den Tor-Browser zu verwenden.

Lösegeld-Akteur der RA-Gruppe verlässt sich zur Kontaktaufnahme auf Tox-Chat

Der vollständige Text der Lösegeldforderung der RA Group lautet wie folgt:

RA-Gruppe

Benachrichtigung
Ihre Daten wurden beim Lesen dieses Schreibens verschlüsselt.
Wir haben alle Daten auf unseren Server kopiert.
Aber keine Sorge, Ihre Daten werden nicht gefährdet oder veröffentlicht, wenn Sie tun, was ich will.

Was haben wir getan?
Wir haben Ihre Daten übernommen und Ihre Server verschlüsselt, verschlüsselte Dateien können entschlüsselt werden.
Da wir Ihre Daten ordnungsgemäß gespeichert haben, werden wir die gespeicherten Daten löschen, wenn Sie unseren Anforderungen genügen.
Wir haben folgende Daten genommen:
[geschwärzt] Dokumente
Lieferanteninformationen
Kundeninformationen, Zahlungsinformationen
Mitarbeiterinformationen, Gehaltsabrechnung
Buchhaltung
Mehrwertsteuer
Finanzberichte
finanzieller Jahresbericht, Quartalsbericht
[geschwärzt] VERTRAG
Geschäftsplan
Vertrag
Rechnungen
Vtex-Info
Interne E-Mail-Sicherung des Mitarbeiters

Was wir wollen?
Kontaktieren Sie uns, zahlen Sie für die Entschlüsselung.

Wie kontaktieren Sie uns?
Zur Kontaktaufnahme verwenden wir qTox. Weitere Informationen finden Sie auf der Website des qTox-Büros:
hxxps://qtox.github.io

Unsere qTox-ID lautet:
(alphanumerische Zeichenfolge)

Wir haben keinen anderen Kontakt.
Erfolgt innerhalb von 3 Tagen kein Kontakt, werden wir Beispieldateien veröffentlichen.
Erfolgt innerhalb von 7 Tagen kein Kontakt, veröffentlichen wir die Datei.

Empfehlen
Kontaktieren Sie uns nicht über andere Unternehmen, diese verdienen nur die Differenz.

Informationsveröffentlichung
Beispieldateien:

Alle Dateien:

Sie können den Tor-Browser verwenden, um die .onion-URL zu öffnen.
Weitere Informationen finden Sie auf der Website des Tor-Büros:
hxxps://www.torproject.org

Was können Sie wie die RA Group tun, um Ihre Daten vor Ransomware zu schützen?

Der Schutz Ihrer Daten vor Ransomware-Angriffen wie der RA Group ist von entscheidender Bedeutung, um Ihre Daten zu schützen und potenziellen Schaden zu verhindern. Hier sind einige Maßnahmen, die Sie ergreifen können, um Ihren Datenschutz zu verbessern:

Sichern Sie Ihre Daten: Sichern Sie regelmäßig Ihre wichtigen Daten und stellen Sie sicher, dass die Backups offline oder in einem separaten Netzwerk sicher gespeichert werden. Selbst wenn Ihre Daten durch Ransomware verschlüsselt werden, können Sie sie auf diese Weise aus Backups wiederherstellen, ohne das Lösegeld zu zahlen.

Halten Sie Ihre Software auf dem neuesten Stand: Installieren Sie Software-Updates und Sicherheitspatches zeitnah. Veraltete Software weist oft Schwachstellen auf, die von Ransomware ausgenutzt werden können. Aktivieren Sie nach Möglichkeit automatische Updates, um einen zeitnahen Schutz zu gewährleisten.

Nutzen Sie robuste Sicherheitslösungen: Stellen Sie zuverlässige Antiviren- oder Anti-Malware-Software auf allen Ihren Geräten bereit. Halten Sie diese Sicherheitslösungen auf dem neuesten Stand und führen Sie regelmäßige Scans durch, um potenzielle Bedrohungen zu erkennen.

Seien Sie besonders vorsichtig mit E-Mail-Anhängen und Links: Seien Sie vorsichtig, wenn Sie E-Mail-Anhänge öffnen oder auf Links klicken, insbesondere von unbekannten Quellen. Ransomware verbreitet sich häufig über Phishing-E-Mails. Überprüfen Sie daher die Identität des Absenders und scannen Sie Anhänge mit Sicherheitssoftware, bevor Sie sie öffnen.

Aktivieren Sie sichere und eindeutige Passwörter: Verwenden Sie sichere Passwörter für alle Ihre Konten und vermeiden Sie deren Wiederverwendung. Erwägen Sie die Suche nach einem Passwort-Manager, um Ihre Passwörter sicher zu speichern und zu verwalten. Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA), um eine zusätzliche Sicherheitsebene hinzuzufügen.