RA Group Ransomware, pagrįsta Babuk kodu

RA Group yra išpirkos reikalaujančios programinės įrangos tipas, kuris atlieka duomenų šifravimą, modifikuoja failų pavadinimus ir pateikia konkrečią išpirkos pažymą. Kiekviena ataka apima pritaikytą išpirkos užrašą pavadinimu „Kaip atkurti failus.txt“, pritaikytą tikslinei organizacijai ar įmonei. Toks pat tinkinimo lygis gali būti taikomas failų plėtiniams, pridedamiems prie šifruotų failų failų pavadinimų.

Vienas iš failų plėtinių, pastebėtų iš „RA Group“ išpirkos reikalaujančios programos, buvo „.GAGUP“. Pažymėtina, kad „RA Group“ yra žinoma dėl to, kad naudoja šifruotę, sukurtą remiantis nutekėjusiu „Babuk ransomware“ grupės, kuri savo veiklą nutraukė 2021 m., šaltinio kodu.

Išpirkos lakštas skirtas informuoti auką apie jų duomenų šifravimą ir užpuoliko veiksmus kopijuojant duomenis savo serveryje, siekiant užtikrinti jų vientisumą ir konfidencialumą, jei jų reikalavimai bus patenkinti.

Pastaboje paaiškinama, kad užpuolikai konfiskavo aukos duomenis ir užšifravo jų serverius, pabrėžiant galimybę iššifruoti užšifruotus failus. Jame minima, kad išsaugoti duomenys bus visam laikui ištrinti įvykdžius užpuoliko reikalavimus, ir pateikiami įvairių tipų duomenys, kuriuos užpuolikai pasiekė.

Auka nukreipiama susisiekti su užpuolikais ir sumokėti už iššifravimo procesą. Pageidautina, kad ryšys būtų vykdomas per qTox, nurodant qTox ID, kad auka galėtų pasinaudoti. Pastaba įspėja, kad su užpuolikais nesikreiptų kitais kanalais, o tai rodo, kad užpuolikai yra suinteresuoti tik pinigine nauda.

Be to, išpirkos rašte teigiama, kad failų pavyzdžiai bus atskleisti viešai, jei per tris dienas nebus užmegztas kontaktas. Jei per septynias dienas nebus atsakyta, visi failai bus paskelbti viešai. Norėdami gauti daugiau informacijos, aukai patariama naudoti „Tor“ naršyklę.

RA grupės išpirkos aktorius pasikliauja „Tox Chat“, kad susisiektų

Visas RA grupės išpirkos rašto tekstas skamba taip:

RA grupė

Pranešimas
Jūsų duomenys buvo užšifruoti, kai skaitote šį laišką.
Mes nukopijavome visus duomenis į savo serverį.
Tačiau nesijaudinkite, jūsų duomenys nebus pažeisti ir nebus paskelbti viešai, jei darysite tai, ko noriu.

Ką mes padarėme?
Mes paėmėme jūsų duomenis ir užšifravome jūsų serverius, užšifruotus failus galima iššifruoti.
Jūsų duomenis išsaugojome tinkamai, išsaugotus duomenis ištrinsime, jei atitiksite mūsų reikalavimus.
Mes paėmėme šiuos duomenis:
[redaguota] Dokumentai
tiekėjo informacija
Kliento informacija, Mokėjimo informacija
Informacija apie darbuotoją, Darbo užmokestis
buhalterinė apskaita
pardavimų mokestis
finansinės ataskaitos
finansinė metinė ataskaita, ketvirtinė ataskaita
[redaguota] SUTARTIS
verslo planas
sutartis
sąskaitos faktūros
vtex informacija
darbuotojo vidinė el. pašto atsarginė kopija

Ko mes norime?
Susisiekite su mumis, sumokėkite už iššifravimą.

Kaip su mumis susisiekti?
Susisiekimui naudojame qTox, daugiau informacijos galite gauti qTox biuro svetainėje:
hxxps://qtox.github.io

Mūsų qTox ID yra:
(raidinė ir skaitmeninė eilutė)

Kito kontakto neturime.
Jei per 3 dienas nesusisieksime, failų pavyzdžius paskelbsime viešai.
Jei per 7 dienas nesusisieksime, failą paviešinsime.

Rekomenduoti
Nesusisiekite su mumis per kitas įmones, jos tiesiog uždirba skirtumą.

Informacijos išleidimas
Failų pavyzdžiai:

Visi failai:

Norėdami atidaryti .onion URL, galite naudoti „Tor Browser“.
Daugiau informacijos rasite „Tor Office“ svetainėje:
hxxps://www.torproject.org

Ką galite padaryti, kad apsaugotumėte savo duomenis nuo „Ransomware“ kaip „RA Group“?

Duomenų apsauga nuo išpirkos reikalaujančių atakų, pvz., RA Group, yra labai svarbi norint apsaugoti jūsų informaciją ir išvengti galimos žalos. Štai keletas priemonių, kurių galite imtis, kad padidintumėte savo duomenų apsaugą:

Kurkite atsargines duomenų kopijas: reguliariai kurkite svarbių duomenų atsargines kopijas ir užtikrinkite, kad atsarginės kopijos būtų saugiai saugomos neprisijungus arba atskirame tinkle. Tokiu būdu, net jei jūsų duomenis užšifruoja išpirkos reikalaujančios programos, galite atkurti juos iš atsarginių kopijų nemokėdami išpirkos.

Atnaujinkite programinę įrangą: nedelsdami įdiekite programinės įrangos naujinius ir saugos pataisas. Pasenusioje programinėje įrangoje dažnai yra pažeidžiamumų, kuriuos gali išnaudoti išpirkos reikalaujančios programos. Jei įmanoma, įjunkite automatinius naujinimus, kad užtikrintumėte savalaikę apsaugą.

Naudokite patikimus saugos sprendimus: visuose įrenginiuose įdiekite patikimą antivirusinę ar kenkėjiškų programų programinę įrangą. Atnaujinkite šiuos saugos sprendimus ir reguliariai nuskaitykite, kad aptiktumėte galimas grėsmes.

Būkite ypač atsargūs su el. pašto priedais ir nuorodomis: būkite atsargūs atidarydami el. pašto priedus arba spustelėdami nuorodas, ypač iš nežinomų šaltinių. Ransomware dažnai plinta per sukčiavimo el. laiškus, todėl prieš atidarydami patikrinkite siuntėjo tapatybę ir nuskaitykite priedus naudodami saugos programinę įrangą.

Įgalinkite stiprius ir unikalius slaptažodžius: naudokite stiprius slaptažodžius visose paskyrose ir nenaudokite jų pakartotinai. Apsvarstykite galimybę ieškoti slaptažodžių tvarkyklės, kad galėtumėte saugiai saugoti ir tvarkyti slaptažodžius. Kai tik įmanoma, įgalinkite kelių veiksnių autentifikavimą (MFA), kad pridėtumėte papildomą saugos lygį.