Программа-вымогатель RA Group на основе кода Babuk

RA Group — это тип программ-вымогателей, которые выполняют шифрование данных, изменяют имена файлов и доставляют специальную записку о выкупе. Каждая атака включает в себя индивидуальную записку с требованием выкупа под названием «Как восстановить ваши файлы.txt», предназначенную для целевой организации или компании. Такой же уровень настройки может применяться к расширениям файлов, добавленным к именам файлов зашифрованных файлов.

Одно из расширений файлов, обнаруженных программой-вымогателем RA Group, было «.GAGUP». Примечательно, что RA Group известна использованием шифровальщика, основанного на утечке исходного кода группы вымогателей Babuk, которая прекратила свою деятельность в 2021 году.

Записка о выкупе служит для информирования жертвы о шифровании их данных и действиях злоумышленников по созданию копий данных на их сервере для обеспечения их целостности и конфиденциальности, если их требования будут выполнены.

В записке поясняется, что злоумышленники захватили данные жертвы и зашифровали их серверы, подчеркнув возможность расшифровки зашифрованных файлов. В нем упоминается, что сохраненные данные будут безвозвратно удалены после выполнения требований злоумышленников, и перечислены различные типы данных, к которым злоумышленники получили доступ.

Жертве предлагается связаться с злоумышленниками и произвести оплату за процесс расшифровки. Связь предпочтительно осуществляется через qTox с предоставленным идентификатором qTox для использования жертвой. В записке предостерегают от контактов с злоумышленниками по другим каналам, предполагая, что злоумышленники заинтересованы исключительно в денежной выгоде.

Кроме того, в записке о выкупе говорится, что образцы файлов будут обнародованы, если в течение трех дней не будет установлено никаких контактов. В случае отсутствия ответа в течение семи дней все файлы будут опубликованы. Для доступа к дополнительной информации жертве рекомендуется использовать браузер Tor.

Актер RA Group Ransom полагается на Tox Chat для связи

Полный текст записки о выкупе RA Group выглядит следующим образом:

Группа РА

Уведомление
Ваши данные были зашифрованы, когда вы читаете это письмо.
Мы скопировали все данные на наш сервер.
Но не волнуйтесь, ваши данные не будут скомпрометированы или обнародованы, если вы сделаете то, что я хочу.

Что мы сделали?
Мы взяли ваши данные и зашифровали ваши серверы, зашифрованные файлы можно расшифровать.
Мы правильно сохранили ваши данные, мы удалим сохраненные данные, если вы соответствуете нашим требованиям.
Мы взяли следующие данные:
[отредактировано] Документы
информация о поставщике
информация о клиенте, платежная информация
Информация о сотрудниках, заработная плата
бухгалтерский учет
налог с продаж
финансовые отчеты
финансовый годовой отчет, квартальный отчет
[отредактировано] КОНТРАКТ
бизнес-план
договор
счета-фактуры
информация о vtex
резервное копирование внутренней электронной почты сотрудника

Что мы хотим?
Свяжитесь с нами, оплатите расшифровку.

Как связаться с нами?
Мы используем qTox для связи, вы можете получить дополнительную информацию на веб-сайте офиса qTox:
hxxps://qtox.github.io

Наш идентификатор qTox:
(буквенно-цифровая строка)

У нас нет других контактов.
Если в течение 3 дней с вами не свяжутся, мы опубликуем образцы файлов.
Если в течение 7 дней не будет контакта, мы опубликуем файл.

Рекомендовать
Не связывайтесь с нами через другие компании, они просто зарабатывают разницу.

Информационный релиз
Примеры файлов:

Все файлы:

Вы можете использовать Tor Browser, чтобы открыть URL-адрес .onion.
Дополнительная информация на веб-сайте офиса Tor:
hxxps://www.torproject.org

Что вы можете сделать, чтобы защитить свои данные от программ-вымогателей, таких как RA Group?

Защита ваших данных от атак программ-вымогателей, таких как RA Group, имеет решающее значение для защиты вашей информации и предотвращения потенциального ущерба. Вот некоторые меры, которые вы можете предпринять для усиления защиты ваших данных:

Резервное копирование данных. Регулярно делайте резервные копии важных данных и убедитесь, что резервные копии надежно хранятся в автономном режиме или в отдельной сети. Таким образом, даже если ваши данные будут зашифрованы программами-вымогателями, вы сможете восстановить их из резервных копий, не платя выкуп.

Поддерживайте свое программное обеспечение в актуальном состоянии: своевременно устанавливайте обновления программного обеспечения и исправления безопасности. Устаревшее программное обеспечение часто содержит уязвимости, которыми могут воспользоваться программы-вымогатели. Включите автоматические обновления, когда это возможно, чтобы обеспечить своевременную защиту.

Используйте надежные решения для обеспечения безопасности. Разверните надежный антивирус или программное обеспечение для защиты от вредоносных программ на всех своих устройствах. Обновляйте эти решения безопасности и выполняйте регулярное сканирование для обнаружения любых потенциальных угроз.

Будьте особенно осторожны с вложениями электронной почты и ссылками: будьте осторожны, открывая вложения электронной почты или переходя по ссылкам, особенно из неизвестных источников. Программа-вымогатель часто распространяется через фишинговые электронные письма, поэтому проверьте личность отправителя и сканируйте вложения с помощью программного обеспечения для обеспечения безопасности, прежде чем открывать их.

Включите надежные и уникальные пароли. Используйте надежные пароли для всех своих учетных записей и избегайте их повторного использования. Рассмотрите возможность поиска менеджера паролей для безопасного хранения и управления вашими паролями. Включите многофакторную аутентификацию (MFA), когда это возможно, чтобы добавить дополнительный уровень безопасности.