RA Group-ransomware gebaseerd op Babuk-code

RA Group is een type ransomware dat gegevensversleuteling uitvoert, bestandsnamen wijzigt en een specifieke losgeldbrief aflevert. Elke aanval omvat een op maat gemaakt losgeldbriefje met de titel "How To Restore Your Files.txt", op maat gemaakt voor de beoogde organisatie of het bedrijf. Hetzelfde aanpassingsniveau kan van toepassing zijn op de bestandsextensies die worden toegevoegd aan de bestandsnamen van de versleutelde bestanden.

Een van de waargenomen bestandsextensies van de RA Group-ransomware was ".GAGUP." RA Group staat met name bekend om het gebruik van een encryptor die is gebouwd op de gelekte broncode van de Babuk-ransomwaregroep, die zijn activiteiten in 2021 had gestaakt.

De losgeldbrief dient om het slachtoffer te informeren over de versleuteling van hun gegevens en de acties van de aanvallers om kopieën van de gegevens op hun server te maken om de integriteit en vertrouwelijkheid ervan te waarborgen als aan hun eisen wordt voldaan.

In de notitie wordt uitgelegd dat de aanvallers de gegevens van het slachtoffer in beslag hebben genomen en hun servers hebben versleuteld, waarbij de mogelijkheid wordt benadrukt om de versleutelde bestanden te ontsleutelen. Het vermeldt dat de opgeslagen gegevens permanent zullen worden verwijderd wanneer aan de vereisten van de aanvallers is voldaan, en het somt verschillende soorten gegevens op waartoe de aanvallers toegang hebben gekregen.

Het slachtoffer wordt gevraagd contact op te nemen met de aanvallers en een betaling te doen voor het decoderingsproces. De communicatie verloopt bij voorkeur via qTox, met een opgegeven qTox-ID die het slachtoffer kan gebruiken. De notitie waarschuwt tegen het contacteren van de aanvallers via andere kanalen, wat suggereert dat de aanvallers alleen geïnteresseerd zijn in geldelijk gewin.

Bovendien staat in de losgeldbrief dat voorbeeldbestanden openbaar zullen worden gemaakt als er binnen drie dagen geen contact tot stand wordt gebracht. Als er binnen zeven dagen geen reactie komt, worden alle bestanden vrijgegeven voor het publiek. Voor toegang tot meer informatie wordt het slachtoffer geadviseerd om de Tor Browser te gebruiken.

RA Group Ransom-acteur vertrouwt op Tox Chat voor contact

De volledige tekst van de losgeldbrief van de RA Group luidt als volgt:

RA Groep

Kennisgeving
Bij het lezen van deze brief zijn uw gegevens versleuteld.
We hebben alle gegevens gekopieerd naar onze server.
Maar maak je geen zorgen, je gegevens worden niet gecompromitteerd of openbaar gemaakt als je doet wat ik wil.

Wat hebben we gedaan?
We hebben uw gegevens genomen en uw servers versleuteld, versleutelde bestanden kunnen worden ontsleuteld.
We hadden je gegevens goed opgeslagen, we zullen de opgeslagen gegevens verwijderen als je aan onze eisen voldoet.
We hebben de volgende gegevens genomen:
[geredigeerd] Documenten
leverancier informatie
klantinformatie, betalingsinformatie
werknemersinformatie, salarisadministratie
boekhouding
btw
jaarrekeningen
financieel jaarverslag, kwartaalverslag
[geredigeerd] CONTRACT
bedrijfsplan
contract
facturen
vtex-info
interne e-mailback-up van werknemers

Wat we willen?
Neem contact met ons op, betaal voor decodering.

Hoe neem je contact met ons op?
We gebruiken qTox om contact op te nemen, u kunt meer informatie krijgen van de qTox-kantoorwebsite:
hxxps://qtox.github.io

Onze qTox-ID is:
(alfanumerieke reeks)

We hebben geen ander contact.
Als er binnen 3 dagen geen contact is, maken we voorbeeldbestanden openbaar.
Als er binnen 7 dagen geen contact is, maken we het dossier openbaar.

Aanbevelen
Neem geen contact met ons op via andere bedrijven, zij verdienen gewoon het verschil.

Informatie vrijgeven
Voorbeeldbestanden:

Alle bestanden:

U kunt Tor Browser gebruiken om de .onion-URL te openen.
Ger meer informatie van Tor office webshite:
hxxps://www.torproject.org

Wat kunt u doen om uw gegevens te beschermen tegen ransomware zoals RA Group?

Het beschermen van uw gegevens tegen ransomware-aanvallen zoals RA Group is cruciaal om uw informatie te beschermen en mogelijke schade te voorkomen. Hier zijn enkele maatregelen die u kunt nemen om uw gegevensbescherming te verbeteren:

Maak een back-up van uw gegevens: maak regelmatig een back-up van uw belangrijke gegevens en zorg ervoor dat de back-ups veilig offline of in een apart netwerk worden opgeslagen. Op deze manier kunt u, zelfs als uw gegevens door ransomware zijn versleuteld, deze vanaf back-ups herstellen zonder losgeld te betalen.

Houd uw software up-to-date: installeer software-updates en beveiligingspatches onmiddellijk. Verouderde software bevat vaak kwetsbaarheden die kunnen worden misbruikt door ransomware. Schakel waar mogelijk automatische updates in om tijdige bescherming te garanderen.

Gebruik robuuste beveiligingsoplossingen: implementeer betrouwbare antivirus- of antimalwaresoftware op al uw apparaten. Houd deze beveiligingsoplossingen up-to-date en voer regelmatig scans uit om mogelijke bedreigingen te detecteren.

Wees extra voorzichtig met e-mailbijlagen en links: Wees voorzichtig bij het openen van e-mailbijlagen of het klikken op links, vooral van onbekende bronnen. Ransomware verspreidt zich vaak via phishing-e-mails, dus verifieer de identiteit van de afzender en scan bijlagen met beveiligingssoftware voordat u ze opent.

Schakel sterke en unieke wachtwoorden in: gebruik sterke wachtwoorden voor al uw accounts en voorkom hergebruik ervan. Overweeg een wachtwoordbeheerder te zoeken om uw wachtwoorden veilig op te slaan en te beheren. Schakel waar mogelijk multi-factor authenticatie (MFA) in om een extra beveiligingslaag toe te voegen.