Ransomware RA Group oparty na kodzie Babuk

RA Group to rodzaj oprogramowania ransomware, które przeprowadza szyfrowanie danych, modyfikuje nazwy plików i dostarcza określone żądanie okupu. Każdy atak obejmuje spersonalizowaną notatkę z żądaniem okupu zatytułowaną „How To Restore Your Files.txt”, dostosowaną do atakowanej organizacji lub firmy. Ten sam poziom dostosowania może dotyczyć rozszerzeń plików dołączanych do nazw plików zaszyfrowanych plików.

Jednym z rozszerzeń plików obserwowanych przez ransomware RA Group było „.GAGUP”. Warto zauważyć, że RA Group jest znana z wykorzystywania narzędzia szyfrującego zbudowanego na ujawnionym kodzie źródłowym grupy ransomware Babuk, która zakończyła swoją działalność w 2021 roku.

Żądanie okupu służy poinformowaniu ofiary o zaszyfrowaniu jej danych oraz działaniach atakujących polegających na wykonaniu kopii danych na ich serwerze w celu zapewnienia ich integralności i poufności, jeśli ich żądania zostaną spełnione.

W notatce wyjaśniono, że osoby atakujące przejęły dane ofiary i zaszyfrowały jej serwery, podkreślając możliwość odszyfrowania zaszyfrowanych plików. Wspomina, że zapisane dane zostaną trwale usunięte po spełnieniu wymagań atakujących oraz wymienia różne rodzaje danych, do których uzyskali dostęp.

Ofiara jest kierowana do skontaktowania się z atakującymi i dokonania płatności za proces odszyfrowywania. Komunikacja odbywa się najlepiej za pośrednictwem qTox, z dostarczonym identyfikatorem qTox do wykorzystania przez ofiarę. Notatka ostrzega przed kontaktowaniem się z atakującymi innymi kanałami, sugerując, że atakujący są zainteresowani wyłącznie zyskiem pieniężnym.

Ponadto żądanie okupu stwierdza, że przykładowe pliki zostaną ujawnione publicznie, jeśli w ciągu trzech dni nie zostanie nawiązany żaden kontakt. W przypadku braku odpowiedzi w ciągu siedmiu dni, wszystkie akta zostaną upublicznione. Aby uzyskać dostęp do dalszych informacji, ofierze zaleca się skorzystanie z przeglądarki Tor.

RA Group Ransom Aktor polega na czacie Tox do kontaktu

Pełny tekst żądania okupu RA Group brzmi następująco:

Grupa RA

Powiadomienie
Twoje dane zostały zaszyfrowane, kiedy czytasz ten list.
Skopiowaliśmy wszystkie dane na nasz serwer.
Ale nie martw się, twoje dane nie zostaną naruszone ani upublicznione, jeśli zrobisz to, co chcę.

Co zrobiliśmy?
Wzięliśmy twoje dane i zaszyfrowaliśmy twoje serwery, zaszyfrowane pliki można odszyfrować.
Zapisaliśmy Twoje dane prawidłowo, usuniemy zapisane dane, jeśli spełnisz nasze wymagania.
Wzięliśmy następujące dane:
[zredagowano] Dokumenty
informacje o dostawcy
Informacje o kliencie, Informacje o płatnościach
Informacje o pracownikach, Lista płac
księgowość
podatek od sprzedaży
Sprawozdania finansowe
roczny raport finansowy, raport kwartalny
[zredagowano] UMOWA
plan biznesowy
kontrakt
faktury
informacje vtex
kopia zapasowa wewnętrznej poczty e-mail pracowników

Czego chcemy?
Skontaktuj się z nami, zapłać za odszyfrowanie.

Jak się z nami skontaktować?
Używamy qTox do kontaktu, więcej informacji można uzyskać na stronie internetowej biura qTox:
hxxps://qtox.github.io

Nasz identyfikator qTox to:
(ciąg znaków alfanumerycznych)

Nie mamy innego kontaktu.
W przypadku braku kontaktu w ciągu 3 dni upublicznimy przykładowe pliki.
W przypadku braku kontaktu w ciągu 7 dni upublicznimy plik.

Polecić
Nie kontaktuj się z nami za pośrednictwem innych firm, one po prostu zarabiają różnicę.

Wydanie informacji
Przykładowe pliki:

Wszystkie pliki:

Możesz użyć przeglądarki Tor, aby otworzyć adres URL .onion.
Ger więcej informacji ze strony internetowej biura Tor:
hxxps://www.torproject.org

Co możesz zrobić, aby chronić swoje dane przed ransomware, takim jak RA Group?

Ochrona danych przed atakami ransomware, takimi jak RA Group, ma kluczowe znaczenie dla ochrony informacji i zapobiegania potencjalnym szkodom. Oto kilka środków, które możesz podjąć, aby zwiększyć ochronę danych:

Kopie zapasowe danych: Regularnie twórz kopie zapasowe ważnych danych i upewnij się, że kopie zapasowe są bezpiecznie przechowywane w trybie offline lub w oddzielnej sieci. W ten sposób, nawet jeśli Twoje dane zostaną zaszyfrowane przez oprogramowanie ransomware, możesz przywrócić je z kopii zapasowych bez płacenia okupu.

Aktualizuj oprogramowanie: szybko instaluj aktualizacje oprogramowania i poprawki zabezpieczeń. Nieaktualne oprogramowanie często zawiera luki, które mogą zostać wykorzystane przez oprogramowanie ransomware. W miarę możliwości włączaj automatyczne aktualizacje, aby zapewnić terminową ochronę.

Korzystaj z niezawodnych rozwiązań zabezpieczających: wdrażaj niezawodne oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem na wszystkich swoich urządzeniach. Aktualizuj te rozwiązania bezpieczeństwa i wykonuj regularne skanowanie w celu wykrycia potencjalnych zagrożeń.

Zachowaj szczególną ostrożność podczas korzystania z załączników i łączy do wiadomości e-mail: Zachowaj ostrożność podczas otwierania załączników do wiadomości e-mail lub klikania łączy, zwłaszcza pochodzących z nieznanych źródeł. Ransomware często rozprzestrzenia się za pośrednictwem wiadomości phishingowych, dlatego przed ich otwarciem należy zweryfikować tożsamość nadawcy i przeskanować załączniki za pomocą oprogramowania zabezpieczającego.

Włącz silne i unikalne hasła: używaj silnych haseł do wszystkich swoich kont i unikaj ich ponownego używania. Rozważ skorzystanie z menedżera haseł, aby bezpiecznie przechowywać hasła i zarządzać nimi. W miarę możliwości włączaj uwierzytelnianie wieloskładnikowe (MFA), aby dodać dodatkową warstwę zabezpieczeń.