Ransomware ομάδας RA με βάση τον κώδικα Babuk

Το RA Group είναι ένας τύπος ransomware που πραγματοποιεί κρυπτογράφηση δεδομένων, τροποποιεί ονόματα αρχείων και παρέχει μια συγκεκριμένη σημείωση λύτρων. Κάθε επίθεση περιλαμβάνει μια προσαρμοσμένη σημείωση λύτρων με τίτλο "How to Restore Your Files.txt", προσαρμοσμένη στον στοχευόμενο οργανισμό ή εταιρεία. Το ίδιο επίπεδο προσαρμογής μπορεί να ισχύει για τις επεκτάσεις αρχείων που προσαρτώνται στα ονόματα αρχείων των κρυπτογραφημένων αρχείων.

Μία από τις επεκτάσεις αρχείων που παρατηρήθηκαν από το ransomware της ομάδας RA ήταν ".GAGUP." Συγκεκριμένα, η RA Group είναι γνωστή για τη χρήση ενός κρυπτογραφητή που βασίζεται στον πηγαίο κώδικα που διέρρευσε της ομάδας ransomware Babuk, η οποία είχε σταματήσει τη λειτουργία της το 2021.

Το σημείωμα λύτρων χρησιμεύει για να ενημερώσει το θύμα σχετικά με την κρυπτογράφηση των δεδομένων του και τις ενέργειες των εισβολέων να δημιουργήσουν αντίγραφα των δεδομένων στον διακομιστή τους για να διασφαλιστεί η ακεραιότητα και η εμπιστευτικότητά τους εάν ικανοποιηθούν τα αιτήματά τους.

Το σημείωμα εξηγεί ότι οι εισβολείς έχουν κατασχέσει τα δεδομένα του θύματος και έχουν κρυπτογραφήσει τους διακομιστές τους, υπογραμμίζοντας τη δυνατότητα αποκρυπτογράφησης των κρυπτογραφημένων αρχείων. Αναφέρει ότι τα αποθηκευμένα δεδομένα θα διαγραφούν οριστικά μετά την εκπλήρωση των απαιτήσεων των εισβολέων και παραθέτει διάφορους τύπους δεδομένων στα οποία έχουν πρόσβαση οι εισβολείς.

Το θύμα κατευθύνεται να επικοινωνήσει με τους εισβολείς και να κάνει μια πληρωμή για τη διαδικασία αποκρυπτογράφησης. Η επικοινωνία διεξάγεται κατά προτίμηση μέσω qTox, με παρεχόμενο qTox ID για χρήση από το θύμα. Το σημείωμα προειδοποιεί να μην έρθετε σε επαφή με τους εισβολείς μέσω άλλων καναλιών, υποδηλώνοντας ότι οι επιτιθέμενοι ενδιαφέρονται αποκλειστικά για το χρηματικό κέρδος.

Επιπλέον, το σημείωμα λύτρων αναφέρει ότι τα δείγματα αρχείων θα αποκαλυφθούν δημόσια εάν δεν υπάρξει επαφή εντός τριών ημερών. Σε περίπτωση μη απάντησης εντός επτά ημερών, όλα τα αρχεία θα δημοσιοποιηθούν. Για πρόσβαση σε περισσότερες πληροφορίες, συνιστάται στο θύμα να χρησιμοποιήσει το πρόγραμμα περιήγησης Tor.

Ο ηθοποιός RA Group Ransom βασίζεται στο Tox Chat για επαφή

Το πλήρες κείμενο του σημειώματος λύτρων του Ομίλου RA έχει ως εξής:

Ομάδα RA

Γνωστοποίηση
Τα δεδομένα σας έχουν κρυπτογραφηθεί όταν διαβάσατε αυτό το γράμμα.
Έχουμε αντιγράψει όλα τα δεδομένα στον διακομιστή μας.
Αλλά μην ανησυχείτε, τα δεδομένα σας δεν θα τεθούν σε κίνδυνο ή δεν θα δημοσιοποιηθούν εάν κάνετε αυτό που θέλω.

Τι κάναμε;
Πήραμε τα δεδομένα σας και κρυπτογραφήσαμε τους διακομιστές σας, τα κρυπτογραφημένα αρχεία μπορούν να αποκρυπτογραφηθούν.
Είχαμε αποθηκεύσει τα δεδομένα σας σωστά, θα διαγράψουμε τα αποθηκευμένα δεδομένα εάν πληροίτε τις απαιτήσεις μας.
Πήραμε τα ακόλουθα δεδομένα:
[με τη διόρθωση] Έγγραφα
πληροφορίες προμηθευτή
Πληροφορίες πελατών, Πληροφορίες πληρωμής
Πληροφορίες εργαζομένων, Μισθοδοσία
λογιστική
φόρος επί των πωλήσεων
οικονομικές δηλώσεις
οικονομική ετήσια έκθεση, τριμηνιαία έκθεση
ΣΥΜΒΟΛΑΙΟ
επιχειρηματικό σχέδιο
σύμβαση
τιμολόγια
πληροφορίες vtex
εσωτερικό αντίγραφο ασφαλείας email εργαζομένων

Τι θέλουμε?
Επικοινωνήστε μαζί μας, πληρώστε για αποκρυπτογράφηση.

Πώς επικοινωνήστε μαζί μας;
Χρησιμοποιούμε qTox για επικοινωνία, μπορείτε να λάβετε περισσότερες πληροφορίες από τον ιστότοπο του γραφείου qTox:
hxxps://qtox.github.io

Το qTox ID μας είναι:
(αλφαριθμητική συμβολοσειρά)

Δεν έχουμε άλλη επαφή.
Εάν δεν υπάρξει επαφή εντός 3 ημερών, θα δημοσιοποιήσουμε τα δείγματα αρχείων.
Εάν δεν υπάρξει επαφή εντός 7 ημερών, θα δημοσιοποιήσουμε το αρχείο.

Συνιστώ
Μην επικοινωνείτε μαζί μας μέσω άλλων εταιρειών, απλώς κερδίζουν τη διαφορά.

Δελτίο πληροφοριών
Δείγματα αρχείων:

Ολα τα αρχεία:

Μπορείτε να χρησιμοποιήσετε το πρόγραμμα περιήγησης Tor για να ανοίξετε το .onion url.
Δείτε περισσότερες πληροφορίες από τον ιστότοπο του Tor office:
hxxps://www.torproject.org

Τι μπορείτε να κάνετε για να προστατέψετε τα δεδομένα σας από Ransomware όπως το RA Group;

Η προστασία των δεδομένων σας από επιθέσεις ransomware όπως το RA Group είναι ζωτικής σημασίας για την προστασία των πληροφοριών σας και την πρόληψη πιθανών ζημιών. Ακολουθούν ορισμένα μέτρα που μπορείτε να λάβετε για να βελτιώσετε την προστασία των δεδομένων σας:

Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας: Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας και βεβαιωθείτε ότι τα αντίγραφα ασφαλείας αποθηκεύονται με ασφάλεια εκτός σύνδεσης ή σε ξεχωριστό δίκτυο. Με αυτόν τον τρόπο, ακόμα κι αν τα δεδομένα σας κρυπτογραφηθούν από ransomware, μπορείτε να τα επαναφέρετε από αντίγραφα ασφαλείας χωρίς να πληρώσετε τα λύτρα.

Διατηρήστε το λογισμικό σας ενημερωμένο: Εγκαταστήστε άμεσα ενημερώσεις λογισμικού και ενημερώσεις κώδικα ασφαλείας. Το ξεπερασμένο λογισμικό περιέχει συχνά ευπάθειες που μπορούν να εκμεταλλευτούν ransomware. Ενεργοποιήστε τις αυτόματες ενημερώσεις όποτε είναι δυνατόν για να εξασφαλίσετε έγκαιρη προστασία.

Χρησιμοποιήστε ισχυρές λύσεις ασφαλείας: Αναπτύξτε αξιόπιστο λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό σε όλες τις συσκευές σας. Διατηρήστε αυτές τις λύσεις ασφαλείας ενημερωμένες και πραγματοποιήστε τακτικές σαρώσεις για τον εντοπισμό πιθανών απειλών.

Να είστε ιδιαίτερα προσεκτικοί με τα συνημμένα email και τους συνδέσμους: Να είστε προσεκτικοί όταν ανοίγετε συνημμένα email ή κάνετε κλικ σε συνδέσμους, ειδικά από άγνωστες πηγές. Το Ransomware συχνά εξαπλώνεται μέσω email ηλεκτρονικού ψαρέματος, επομένως επαληθεύστε την ταυτότητα του αποστολέα και σαρώστε τα συνημμένα με λογισμικό ασφαλείας πριν τα ανοίξετε.

Ενεργοποίηση ισχυρών και μοναδικών κωδικών πρόσβασης: Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης για όλους τους λογαριασμούς σας και αποφύγετε την επαναχρησιμοποίησή τους. Εξετάστε το ενδεχόμενο να αναζητήσετε έναν διαχειριστή κωδικών πρόσβασης για την ασφαλή αποθήκευση και διαχείριση των κωδικών πρόσβασής σας. Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) όποτε είναι δυνατόν για να προσθέσετε ένα επιπλέον επίπεδο ασφάλειας.