Babuk コードに基づく RA グループのランサムウェア
RA Group は、データ暗号化を実行し、ファイル名を変更し、特定の身代金メモを配信する一種のランサムウェアです。各攻撃には、標的となる組織や企業に合わせてカスタマイズされた「How To Restore Your Files.txt」というタイトルの身代金メモが含まれます。同じレベルのカスタマイズが、暗号化されたファイルのファイル名に追加されるファイル拡張子に適用される場合があります。
RA Group ランサムウェアから観察されたファイル拡張子の 1 つは「.GAGUP」でした。特に、RA Groupは、2021年に活動を停止したBabakランサムウェアグループの漏洩ソースコードに基づいて構築された暗号化装置を利用していることで知られている。
身代金メモは、データの暗号化と、要求が満たされた場合にデータの整合性と機密性を確保するためにサーバー上にデータのコピーを作成する攻撃者の行動について被害者に知らせるのに役立ちます。
このメモでは、攻撃者が被害者のデータを押収してサーバーを暗号化したと説明し、暗号化されたファイルを復号化できる可能性を強調しています。そこには、攻撃者の要件が満たされれば保存されたデータが完全に削除されることが記載されており、攻撃者がアクセスしたさまざまな種類のデータがリストされています。
被害者は攻撃者に連絡し、復号化プロセスの費用を支払うよう指示されます。通信は、被害者が利用できるように提供された qTox ID を使用して、qTox を介して実行されることが好ましい。このメモでは、他のチャネルを通じて攻撃者に接触しないよう警告しており、攻撃者が金銭的利益のみに興味があることを示唆しています。
さらに、身代金メモには、3 日以内に連絡が確立されない場合、サンプル ファイルが公開されると記載されています。 7 日以内に応答がない場合は、すべてのファイルが公開されます。さらに詳しい情報にアクセスするには、Tor ブラウザを利用することをお勧めします。
RA グループの身代金要求者、連絡手段として Tox チャットを利用
RA グループの身代金メモの全文は次のとおりです。
RAグループ
通知
この手紙を読んだ時点では、あなたのデータは暗号化されています。
すべてのデータをサーバーにコピーしました。
しかし、心配しないでください。私が望むようにすれば、あなたのデータが侵害されたり、公開されたりすることはありません。私たちが何をしたのですか?
私たちはあなたのデータを取得し、サーバーを暗号化しました。暗号化されたファイルは復号化できます。
お客様のデータは適切に保存しておりましたが、お客様が当社の要件を満たした場合、保存されたデータは削除されます。
次のデータを取得しました。
[編集済み] 文書
サプライヤー情報
お客様情報、お支払い情報
従業員情報、給与計算
会計
消費税
財務諸表
財務年次報告書、四半期報告書
[編集済み] 契約
事業計画
契約
請求書
VTEX 情報
従業員の内部電子メールのバックアップ私たちが欲しいもの?
私たちに連絡して、復号化の料金を支払います。連絡方法を教えてください。
連絡には qTox を使用します。詳細については、qTox オフィスの Web サイトから入手できます。
hxxps://qtox.github.io私たちの qTox ID は次のとおりです。
(英数字の文字列)他に連絡先はありません。
3日以内にご連絡がない場合はサンプルファイルを公開させていただきます。
7日以内にご連絡がない場合は公開させていただきます。お勧め
他の会社を通じて私たちに連絡しないでください。彼らは差額を稼ぐだけです。情報公開
サンプルファイル:すべてのファイル:
Tor ブラウザを使用して .onion URL を開くことができます。
詳細については、Tor オフィスの Web サイトをご覧ください。
hxxps://www.torproject.org
RA Group のようなランサムウェアからデータを保護するにはどうすればよいですか?
RA Group のようなランサムウェア攻撃からデータを保護することは、情報を保護し、潜在的な損害を防ぐために非常に重要です。データ保護を強化するために講じられる対策は次のとおりです。
データのバックアップ:重要なデータを定期的にバックアップし、バックアップがオフラインまたは別のネットワークに安全に保存されていることを確認します。これにより、データがランサムウェアによって暗号化された場合でも、身代金を支払わずにバックアップからデータを復元できます。
ソフトウェアを最新の状態に保つ:ソフトウェアのアップデートとセキュリティ パッチを速やかにインストールします。古いソフトウェアには、ランサムウェアが悪用できる脆弱性が含まれていることがよくあります。タイムリーな保護を確保するために、可能な限り自動更新を有効にしてください。
堅牢なセキュリティ ソリューションを使用する:信頼できるウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアをすべてのデバイスに導入します。これらのセキュリティ ソリューションを常に最新の状態に保ち、定期的にスキャンを実行して潜在的な脅威を検出します。
電子メールの添付ファイルとリンクには特に注意してください。電子メールの添付ファイルを開いたり、リンクをクリックしたりするときは、特に不明なソースからのリンクには注意してください。ランサムウェアはフィッシングメールを通じて拡散することが多いため、送信者の身元を確認し、添付ファイルを開く前にセキュリティ ソフトウェアでスキャンしてください。
強力で固有のパスワードを有効にする:すべてのアカウントに強力なパスワードを使用し、再利用を避けます。パスワードを安全に保存および管理するには、パスワード マネージャーを検討することを検討してください。可能な限り多要素認証 (MFA) を有効にして、セキュリティ層を追加します。