RA Group Ransomware
Le RA Group Ransomware cible les organisations en cryptant une quantité importante de données essentielles. La menace modifie également les noms d'origine des fichiers concernés. Chaque attaque menée par le groupe RA peut impliquer une note de rançon unique, généralement nommée "Comment restaurer vos fichiers.txt", qui est susceptible d'être spécialement conçue pour l'entreprise ou l'organisation ciblée. De même, le groupe RA peut également ajouter une extension différente aux noms de fichiers des fichiers cryptés pour chaque victime différente.
Dans un cas confirmé, le RA Group Ransomware a ajouté l'extension '.GAGUP' aux fichiers cryptés. Notamment, la menace du groupe RA est connue pour utiliser un processus de cryptage basé sur le code source divulgué de la célèbre menace Babuk Ransomware . Babuk, une opération de ransomware qui a cessé ses activités en 2021, a servi de base au développement des techniques de chiffrement du groupe RA.
Le ransomware du groupe RA pose un grave danger pour les données des victimes
La note de rançon, adressée aux victimes du RA Group Ransomware, délivre un message clair que leurs données ont été cryptées. De plus, les cybercriminels prétendent avoir exfiltré des copies de toutes les données compromises sur leur serveur, faisant de l'attaque une opération de double extorsion. De telles méthodes garantissent que les victimes se plieront aux exigences des agresseurs.
La note poursuit en fournissant une explication de la situation, soulignant que les attaquants ont pris les données des victimes et chiffré leurs serveurs. Il assure aux victimes que les fichiers cryptés peuvent être décryptés, ce qui implique qu'il existe une possibilité de récupérer leurs données. De plus, la note indique qu'une fois les exigences des attaquants satisfaites, les données enregistrées seront définitivement supprimées. Il répertorie également les différents types de données auxquelles les attaquants ont accédé pendant la violation.
Pour lancer le processus de décryptage, les victimes sont invitées à établir un contact avec les attaquants et à verser une rançon. La méthode de communication préférée spécifiée dans la note est via qTox, et un identifiant qTox spécifique est fourni aux victimes. La note met explicitement en garde contre le fait de contacter les attaquants par le biais d'autres sociétés intermédiaires, suggérant que les attaquants sont uniquement intéressés à profiter de la situation et décourageant toute implication de tiers.
En termes de conséquences en cas de non-respect, la note de rançon indique que si aucun contact n'est établi dans les trois jours, les attaquants rendront publics des exemples de fichiers afin de faire pression sur les victimes. De plus, si les victimes ne parviennent toujours pas à établir le contact dans les sept jours, la note menace de rendre publics tous les fichiers cryptés. Pour accéder à des informations supplémentaires, il est conseillé aux victimes d'utiliser le navigateur Tor, connu pour ses fonctions d'anonymat.
Adoptez une approche sérieuse de la sécurité de vos appareils et de vos données
Les utilisateurs peuvent adopter plusieurs mesures pour protéger efficacement leurs appareils et leurs données contre les infections par ransomware. Premièrement, il est crucial de maintenir un logiciel de sécurité à jour et robuste sur leurs appareils. Cela inclut l'utilisation d'un logiciel anti-malware fiable capable de détecter et de bloquer les menaces de ransomware. De plus, il est essentiel de maintenir le système d'exploitation, les applications et le micrologiciel à jour avec les derniers correctifs et mises à jour de sécurité pour résoudre les vulnérabilités susceptibles d'être exploitées par les rançongiciels.
Une autre mesure fondamentale consiste à faire preuve de prudence et de vigilance lors de la navigation sur Internet et de l'ouverture des pièces jointes aux e-mails. Les utilisateurs doivent se méfier des e-mails, liens ou pièces jointes suspects provenant de sources inconnues, car ils peuvent souvent servir de points d'entrée pour les infections par ransomware. Il est conseillé de vérifier l'authenticité des e-mails et des pièces jointes avant d'interagir avec eux, surtout s'ils semblent inhabituels ou inattendus.
La sauvegarde régulière des données pertinentes est un aspect crucial de la protection contre les ransomwares. La création de sauvegardes hors ligne des fichiers nécessaires et leur stockage sur des appareils distincts ou des solutions de stockage dans le cloud permettent de s'assurer que les données peuvent être récupérées en cas d'attaque par ransomware. Il est important de conserver plusieurs copies des sauvegardes et de s'assurer qu'elles sont stockées en toute sécurité pour empêcher tout accès non autorisé.
L'activation de mesures de sécurité supplémentaires telles que la protection par pare-feu, les systèmes de détection d'intrusion et la restriction des privilèges des utilisateurs peut créer une couche de défense supplémentaire contre les ransomwares. La mise en œuvre de mots de passe forts et exclusifs et l'activation de l'authentification à deux facteurs peuvent aider à empêcher l'accès non autorisé aux appareils et aux comptes.
Le texte de la note de rançon déposée par RA Group Ransomware est :
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
