RA Group Ransomware baseado no código Babuk
RA Group é um tipo de ransomware que realiza criptografia de dados, modifica nomes de arquivos e entrega uma nota de resgate específica. Cada ataque envolve uma nota de resgate personalizada intitulada "Como restaurar seus arquivos.txt", adaptada à organização ou empresa visada. O mesmo nível de personalização pode ser aplicado às extensões de arquivo anexadas aos nomes dos arquivos criptografados.
Uma das extensões de arquivo observadas no ransomware RA Group foi ".GAGUP". Notavelmente, o RA Group é conhecido por utilizar um criptografador criado com base no código-fonte vazado do grupo de ransomware Babuk, que encerrou suas operações em 2021.
A nota de resgate serve para informar a vítima sobre a criptografia de seus dados e as ações dos invasores de fazer cópias dos dados em seu servidor para garantir sua integridade e confidencialidade caso suas demandas sejam atendidas.
A nota explica que os invasores apreenderam os dados da vítima e criptografaram seus servidores, destacando a possibilidade de descriptografar os arquivos criptografados. Ele menciona que os dados salvos serão excluídos permanentemente após o cumprimento dos requisitos dos invasores e lista vários tipos de dados que os invasores acessaram.
A vítima é orientada a entrar em contato com os invasores e efetuar o pagamento pelo processo de descriptografia. A comunicação é preferencialmente conduzida via qTox, com um ID qTox fornecido para a vítima utilizar. A nota adverte contra o contato com os invasores por meio de outros canais, sugerindo que os invasores estão interessados apenas em ganhos monetários.
Além disso, a nota de resgate afirma que os arquivos de amostra serão divulgados publicamente se nenhum contato for estabelecido dentro de três dias. Caso não haja resposta em sete dias, todos os arquivos serão divulgados ao público. Para acessar mais informações, a vítima é aconselhada a utilizar o navegador Tor.
Ator de resgate do grupo RA confia no Tox Chat para contato
O texto completo da nota de resgate do RA Group é o seguinte:
Grupo RA
Notificação
Seus dados foram criptografados quando você leu esta carta.
Copiamos todos os dados para o nosso servidor.
Mas não se preocupe, seus dados não serão comprometidos ou tornados públicos se você fizer o que eu quero.O que nós fizemos?
Pegamos seus dados e criptografamos seus servidores, os arquivos criptografados podem ser descriptografados.
Salvamos seus dados corretamente, excluiremos os dados salvos se você atender aos nossos requisitos.
Pegamos os seguintes dados:
[redigido] Documentos
informação do fornecedor
Informações do cliente, Informações de pagamento
Informações do funcionário, folha de pagamento
contabilidade
imposto sobre vendas
declarações financeiras
relatório financeiro anual, relatório trimestral
[redigido] CONTRATO
plano de negócios
contrato
faturas
informações do vtex
backup de e-mail interno do funcionárioO que nós queremos?
Entre em contato conosco, pague pela descriptografia.Como entrar em contato conosco?
Usamos qTox para entrar em contato, você pode obter mais informações no site do escritório qTox:
hxxps://qtox.github.ioNosso ID qTox é:
(sequência alfanumérica)Não temos outro contato.
Se não houver contato dentro de 3 dias, tornaremos os arquivos de amostra públicos.
Se não houver contato em até 7 dias, tornaremos o arquivo público.recomendar
Não nos contacte através de outras empresas, elas apenas ganham a diferença.Liberação de informações
Arquivos de amostra:Todos os arquivos:
Você pode usar o Navegador Tor para abrir o URL .onion.
Obtenha mais informações no site do escritório Tor:
hxxps://www.torproject.org
O que você pode fazer para proteger seus dados de ransomware como o RA Group?
Proteger seus dados contra ataques de ransomware como o RA Group é crucial para proteger suas informações e evitar possíveis danos. Aqui estão algumas medidas que você pode tomar para melhorar sua proteção de dados:
Faça backup de seus dados: faça backup regularmente de seus dados importantes e certifique-se de que os backups sejam armazenados com segurança off-line ou em uma rede separada. Dessa forma, mesmo que seus dados sejam criptografados por ransomware, você pode restaurá-los a partir de backups sem pagar o resgate.
Mantenha seu software atualizado: instale atualizações de software e patches de segurança imediatamente. O software desatualizado geralmente contém vulnerabilidades que podem ser exploradas por ransomware. Habilite atualizações automáticas sempre que possível para garantir proteção oportuna.
Use soluções de segurança robustas: implante um software antivírus ou antimalware confiável em todos os seus dispositivos. Mantenha essas soluções de segurança atualizadas e execute verificações regulares para detectar possíveis ameaças.
Tenha muito cuidado com anexos e links de e-mail: tenha cuidado ao abrir anexos de e-mail ou clicar em links, especialmente de fontes desconhecidas. O ransomware geralmente se espalha por e-mails de phishing, portanto, verifique a identidade do remetente e verifique os anexos com um software de segurança antes de abri-los.
Habilite senhas fortes e exclusivas: use senhas fortes para todas as suas contas e evite reutilizá-las. Considere procurar um gerenciador de senhas para armazenar e gerenciar suas senhas com segurança. Ative a autenticação multifator (MFA) sempre que possível para adicionar uma camada extra de segurança.
