RA Group Ransomware

RA Group ランサムウェアは、大量の重要なデータを暗号化することで組織を標的にします。この脅威は、影響を受けるファイルの元の名前も変更します。 RA グループが実行する各攻撃には、通常「How To Restore Your Files.txt」という名前の固有の身代金メモが含まれる可能性があり、これは標的となる企業や組織向けに特別に作成されたものと考えられます。同様に、RA グループは、異なる被害者ごとに、暗号化されたファイルのファイル名に異なる拡張子を追加することもあります。

確認された例では、RA Group ランサムウェアが暗号化されたファイルに「.GAGUP」拡張子を追加しました。特に、RA Group の脅威は、悪名高いBabuk Ransomware脅威の漏洩ソース コードに基づく暗号化プロセスを利用していることで知られています。 2021 年に活動を停止したランサムウェア オペレーションである Babuk は、RA グループの暗号化技術開発の基盤として機能しました。

RA Group ランサムウェアは被害者のデータに重大な危険をもたらす

RA Group Ransomware の被害者に宛てられたこの身代金メモは、彼らのデータが暗号化されていることを明確に示しています。さらに、サイバー犯罪者は、侵害されたすべてのデータのコピーをサーバーに流出させたと主張しており、事実上、この攻撃は二重の恐喝作戦となっています。このような方法により、被害者は攻撃者の要求に確実に従うことができます。

このメモは続けて状況の説明を提供し、攻撃者が被害者のデータを奪い、サーバーを暗号化したことを強調しています。これは、暗号化されたファイルが復号化できることを被害者に保証し、データを回復できる可能性があることを示唆します。さらに、攻撃者の要件が満たされると、保存されたデータは完全に削除されるとメモに記載されています。また、侵害中に攻撃者がアクセスしたさまざまな種類のデータもリストされます。

復号化プロセスを開始するには、被害者は攻撃者との連絡を確立し、身代金を支払うように指示されます。このメモで指定されている推奨される通信方法は qTox を介したものであり、特定の qTox ID が被害者に提供されます。このメモでは、他の仲介会社を通じて攻撃者に接触することを明確に警告しており、攻撃者がこの状況から利益を得て第三者の関与を阻止することだけに興味があることを示唆しています。

コンプライアンス違反の結果に関して、身代金メモには、3 日以内に連絡が確立されない場合、攻撃者は被害者に圧力をかける手段としてサンプル ファイルを公開することが示されています。さらに、被害者が 7 日以内に連絡を確立できなかった場合、メモではすべての暗号化されたファイルを公開すると脅迫しています。追加情報にアクセスするには、匿名機能で知られる Tor ブラウザを使用することが被害者に推奨されます。

デバイスとデータの安全性に対して真剣に取り組みましょう

ユーザーは、デバイスとデータをランサムウェア感染から効果的に保護するために、いくつかの対策を講じることができます。まず、デバイス上で最新かつ堅牢なセキュリティ ソフトウェアを維持することが重要です。これには、ランサムウェアの脅威を検出してブロックできる信頼性の高いマルウェア対策ソフトウェアの使用が含まれます。さらに、ランサムウェアが悪用する可能性のある脆弱性に対処するには、オペレーティング システム、アプリケーション、ファームウェアを最新のセキュリティ パッチやアップデートで更新し続けることが不可欠です。

もう 1 つの基本的な対策は、インターネットを閲覧したり、電子メールの添付ファイルを開くときに注意と警戒を払うことです。ユーザーは、不明な送信元から送信された不審な電子メール、リンク、添付ファイルに注意する必要があります。これらはランサムウェア感染の入り口となる可能性があるためです。特に異常または予期しないと思われる場合は、電子メールと添付ファイルを操作する前に、その信頼性を確認することをお勧めします。

関連データを定期的にバックアップすることは、ランサムウェア防御の重要な側面です。必要なファイルのオフライン バックアップを作成し、それらを別のデバイスまたはクラウド ストレージ ソリューションに保存すると、ランサムウェア攻撃が発生した場合にデータを確実に回復できるようになります。不正なアクセスを防ぐために、バックアップのコピーを複数保持し、安全に保管することが重要です。

ファイアウォール保護、侵入検知システム、ユーザー権限の制限などの追加のセキュリティ対策を有効にすると、ランサムウェアに対する追加の防御層を作成できます。強力な専用パスワードを実装し、2 要素認証を有効にすると、デバイスやアカウントへの不正アクセスを防ぐことができます。

RA Group Ransomware によって投下された身代金メモのテキストは次のとおりです。

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'