RA Group Ransomware basé sur le code Babuk

RA Group est un type de ransomware qui effectue le cryptage des données, modifie les noms de fichiers et délivre une note de rançon spécifique. Chaque attaque implique une note de rançon personnalisée intitulée "Comment restaurer vos fichiers.txt", adaptée à l'organisation ou à l'entreprise ciblée. Le même niveau de personnalisation peut s'appliquer aux extensions de fichiers ajoutées aux noms de fichiers des fichiers cryptés.

L'une des extensions de fichier observées dans le rançongiciel RA Group était ".GAGUP". Notamment, RA Group est connu pour utiliser un chiffreur basé sur le code source divulgué du groupe de rançongiciels Babuk, qui avait cessé ses activités en 2021.

La note de rançon sert à informer la victime du cryptage de ses données et des actions des attaquants consistant à faire des copies des données sur leur serveur pour assurer son intégrité et sa confidentialité si leurs demandes sont satisfaites.

La note explique que les attaquants ont saisi les données de la victime et crypté leurs serveurs, soulignant la possibilité de décrypter les fichiers cryptés. Il mentionne que les données enregistrées seront définitivement supprimées une fois les exigences des attaquants satisfaites et répertorie les différents types de données auxquelles les attaquants ont accédé.

La victime est invitée à contacter les attaquants et à effectuer un paiement pour le processus de décryptage. La communication est de préférence effectuée via qTox, avec un ID qTox fourni que la victime peut utiliser. La note met en garde contre le fait de contacter les attaquants par d'autres canaux, suggérant que les attaquants sont uniquement intéressés par le gain monétaire.

De plus, la note de rançon indique que les exemples de fichiers seront divulgués publiquement si aucun contact n'est établi dans les trois jours. En cas d'absence de réponse dans les sept jours, tous les fichiers seront rendus publics. Pour accéder à de plus amples informations, il est conseillé à la victime d'utiliser le navigateur Tor.

L'acteur de la rançon du groupe RA s'appuie sur le chat Tox pour le contact

Le texte intégral de la note de rançon du groupe RA se lit comme suit :

Groupe RA

Notification
Vos données ont été cryptées lorsque vous lisez cette lettre.
Nous avons copié toutes les données sur notre serveur.
Mais ne vous inquiétez pas, vos données ne seront pas compromises ou rendues publiques si vous faites ce que je veux.

Qu'avons-nous fait?
Nous avons pris vos données et chiffré vos serveurs, les fichiers chiffrés peuvent être déchiffrés.
Nous avions enregistré vos données correctement, nous supprimerons les données enregistrées si vous répondez à nos exigences.
Nous avons pris les données suivantes :
[caviardé] Documents
informations fournisseur
Informations client, informations de paiement
Informations sur les employés, Paie
comptabilité
taxe de vente
États financiers
rapport financier annuel, rapport trimestriel
[caviardé] CONTRAT
plan d'affaires
contracter
factures
infos vtex
sauvegarde des e-mails internes des employés

Ce que nous voulons?
Contactez-nous, payez pour le décryptage.

Comment nous contacter ?
Nous utilisons qTox pour contacter, vous pouvez obtenir plus d'informations sur le site Web du bureau de qTox :
hxxps://qtox.github.io

Notre identifiant qTox est :
(chaîne alphanumérique)

Nous n'avons aucun autre contact.
S'il n'y a pas de contact dans les 3 jours, nous rendrons publics les fichiers d'échantillons.
S'il n'y a pas de contact dans les 7 jours, nous rendrons le dossier public.

Recommander
Ne nous contactez pas par l'intermédiaire d'autres sociétés, elles gagnent juste la différence.

Communiqué d'information
Exemples de fichiers :

Tous les fichiers:

Vous pouvez utiliser le navigateur Tor pour ouvrir l'URL .onion.
Obtenez plus d'informations sur le site Web du bureau de Tor :
hxxps://www.torproject.org

Que pouvez-vous faire pour protéger vos données contre les ransomwares comme RA Group ?

La protection de vos données contre les attaques de rançongiciels comme RA Group est cruciale pour protéger vos informations et prévenir les dommages potentiels. Voici quelques mesures que vous pouvez prendre pour améliorer la protection de vos données :

Sauvegardez vos données : sauvegardez régulièrement vos données importantes et assurez-vous que les sauvegardes sont stockées en toute sécurité hors ligne ou sur un réseau séparé. De cette façon, même si vos données sont cryptées par un rançongiciel, vous pouvez les restaurer à partir de sauvegardes sans payer la rançon.

Maintenez votre logiciel à jour : installez rapidement les mises à jour logicielles et les correctifs de sécurité. Les logiciels obsolètes contiennent souvent des vulnérabilités qui peuvent être exploitées par des rançongiciels. Activez les mises à jour automatiques chaque fois que possible pour assurer une protection rapide.

Utilisez des solutions de sécurité robustes : Déployez un logiciel antivirus ou anti-malware fiable sur tous vos appareils. Maintenez ces solutions de sécurité à jour et effectuez des analyses régulières pour détecter toute menace potentielle.

Soyez très prudent avec les pièces jointes et les liens des e-mails : Soyez prudent lorsque vous ouvrez des pièces jointes ou cliquez sur des liens, en particulier provenant de sources inconnues. Les ransomwares se propagent souvent par le biais d'e-mails de phishing, alors vérifiez l'identité de l'expéditeur et analysez les pièces jointes avec un logiciel de sécurité avant de les ouvrir.

Activez des mots de passe forts et uniques : utilisez des mots de passe forts pour tous vos comptes et évitez de les réutiliser. Envisagez de vous tourner vers un gestionnaire de mots de passe pour stocker et gérer vos mots de passe en toute sécurité. Activez l'authentification multifacteur (MFA) chaque fois que possible pour ajouter une couche de sécurité supplémentaire.