RA Group Ransomware basato sul codice Babuk

RA Group è un tipo di ransomware che esegue la crittografia dei dati, modifica i nomi dei file e fornisce una nota di riscatto specifica. Ogni attacco prevede una nota di riscatto personalizzata intitolata "Come ripristinare i tuoi file.txt", adattata all'organizzazione o all'azienda presa di mira. Lo stesso livello di personalizzazione può essere applicato alle estensioni dei file aggiunte ai nomi dei file crittografati.

Una delle estensioni di file osservate dal ransomware RA Group era ".GAGUP". In particolare, RA Group è noto per l'utilizzo di un crittografo basato sul codice sorgente trapelato del gruppo ransomware Babuk, che aveva cessato le sue operazioni nel 2021.

La nota di riscatto serve a informare la vittima sulla crittografia dei propri dati e sulle azioni degli aggressori di fare copie dei dati sul proprio server per garantirne l'integrità e la riservatezza se le loro richieste vengono soddisfatte.

La nota spiega che gli aggressori hanno sequestrato i dati della vittima e crittografato i loro server, evidenziando la possibilità di decrittografare i file crittografati. Indica che i dati salvati verranno eliminati in modo permanente una volta soddisfatti i requisiti degli aggressori ed elenca vari tipi di dati a cui gli aggressori hanno avuto accesso.

La vittima è indirizzata a contattare gli aggressori ed effettuare un pagamento per il processo di decrittazione. La comunicazione è preferibilmente condotta tramite qTox, con un ID qTox fornito che la vittima può utilizzare. La nota mette in guardia dal contattare gli aggressori attraverso altri canali, suggerendo che gli aggressori sono interessati esclusivamente al guadagno monetario.

Inoltre, la nota di riscatto afferma che i file di esempio verranno divulgati pubblicamente se non viene stabilito alcun contatto entro tre giorni. In caso di mancata risposta entro sette giorni, tutti i file saranno resi pubblici. Per accedere a ulteriori informazioni, si consiglia alla vittima di utilizzare Tor Browser.

L'attore di RA Group Ransom si affida a Tox Chat per il contatto

Il testo completo della richiesta di riscatto del gruppo RA recita quanto segue:

Gruppo R.A

Notifica
I tuoi dati sono stati crittografati quando hai letto questa lettera.
Abbiamo copiato tutti i dati sul nostro server.
Ma non preoccuparti, i tuoi dati non saranno compromessi o resi pubblici se fai quello che voglio.

Cosa abbiamo fatto?
Abbiamo preso i tuoi dati e crittografato i tuoi server, i file crittografati possono essere decrittografati.
Abbiamo salvato correttamente i tuoi dati, elimineremo i dati salvati se soddisfi i nostri requisiti.
Abbiamo preso i seguenti dati:
[redatto] Documenti
informazioni sui fornitori
informazioni sul cliente, informazioni sul pagamento
informazioni sui dipendenti, buste paga
contabilità
imposta sulle vendite
bilancio d'esercizio
relazione finanziaria annuale, relazione trimestrale
[redatto] CONTRATTO
Piano aziendale
contrarre
fatture
informazioni vtex
backup interno della posta elettronica del dipendente

Ciò che vogliamo?
Contattaci, paga per la decrittazione.

Come contattarci?
Usiamo qTox per contattare, puoi ottenere maggiori informazioni dal sito web dell'ufficio qTox:
hxxps://qtox.github.io

Il nostro ID qTox è:
(stringa alfanumerica)

Non abbiamo altri contatti.
Se non ci sono contatti entro 3 giorni, renderemo pubblici i file di esempio.
Se non ci sono contatti entro 7 giorni, renderemo pubblico il file.

Consiglia
Non contattarci tramite altre società, guadagnano solo la differenza.

Rilascio di informazioni
File di esempio:

Tutti i files:

Puoi utilizzare Tor Browser per aprire l'URL .onion.
Ger ulteriori informazioni dal sito web dell'ufficio Tor:
hxxps://www.torproject.org

Cosa puoi fare per proteggere i tuoi dati da ransomware come RA Group?

Proteggere i tuoi dati da attacchi ransomware come RA Group è fondamentale per salvaguardare le tue informazioni e prevenire potenziali danni. Ecco alcune misure che puoi adottare per migliorare la protezione dei dati:

Esegui il backup dei tuoi dati: esegui regolarmente il backup dei tuoi dati importanti e assicurati che i backup siano archiviati in modo sicuro offline o in una rete separata. In questo modo, anche se i tuoi dati vengono crittografati dal ransomware, puoi ripristinarli dai backup senza pagare il riscatto.

Mantieni aggiornato il tuo software: installa tempestivamente gli aggiornamenti del software e le patch di sicurezza. Il software obsoleto contiene spesso vulnerabilità che possono essere sfruttate dal ransomware. Abilita gli aggiornamenti automatici quando possibile per garantire una protezione tempestiva.

Utilizza solide soluzioni di sicurezza: distribuisci software antivirus o anti-malware affidabile su tutti i tuoi dispositivi. Mantieni aggiornate queste soluzioni di sicurezza ed esegui scansioni regolari per rilevare eventuali minacce potenziali.

Presta particolare attenzione agli allegati e ai collegamenti e-mail: fai attenzione quando apri allegati e-mail o fai clic su collegamenti, soprattutto da fonti sconosciute. Il ransomware si diffonde spesso tramite e-mail di phishing, quindi verifica l'identità del mittente e scansiona gli allegati con un software di sicurezza prima di aprirli.

Abilita password complesse e univoche: utilizza password complesse per tutti i tuoi account ed evita di riutilizzarle. Prendi in considerazione la possibilità di esaminare un gestore di password per archiviare e gestire in modo sicuro le tue password. Abilita l'autenticazione a più fattori (MFA) quando possibile per aggiungere un ulteriore livello di sicurezza.