RA Group Ransomware
El RA Group Ransomware se dirige a las organizaciones mediante el cifrado de una cantidad significativa de datos esenciales. La amenaza también modifica los nombres originales de los archivos afectados. Cada ataque llevado a cabo por RA Group puede implicar una nota de rescate única, generalmente denominada "Cómo restaurar sus archivos.txt", que probablemente esté diseñada específicamente para la empresa u organización objetivo. De manera similar, RA Group también puede agregar una extensión diferente a los nombres de archivo de los archivos cifrados para cada víctima diferente.
En un caso confirmado, RA Group Ransomware agregó la extensión '.GAGUP' a los archivos cifrados. En particular, la amenaza RA Group es conocida por utilizar un proceso de cifrado basado en el código fuente filtrado de la notoria amenaza Babuk Ransomware . Babuk, una operación de ransomware que cesó sus actividades en 2021, sirvió como base para el desarrollo de las técnicas de encriptación de RA Group.
El ransomware RA Group representa un grave peligro para los datos de las víctimas
La nota de rescate, dirigida a las víctimas del RA Group Ransomware, transmite un mensaje claro de que sus datos han sido encriptados. Además, los ciberdelincuentes afirman haber exfiltrado copias de todos los datos comprometidos a su servidor, convirtiendo el ataque en una operación de doble extorsión. Tales métodos aseguran que las víctimas cumplirán con las demandas de los atacantes.
La nota continúa brindando una explicación de la situación, enfatizando que los atacantes han tomado los datos de las víctimas y encriptado sus servidores. Asegura a las víctimas que los archivos cifrados se pueden descifrar, lo que implica que existe la posibilidad de recuperar sus datos. Además, la nota establece que una vez que se cumplan los requisitos de los atacantes, los datos guardados se eliminarán de forma permanente. También enumera los diversos tipos de datos a los que los atacantes han accedido durante la violación.
Para iniciar el proceso de descifrado, se instruye a las víctimas para que establezcan contacto con los atacantes y paguen un rescate. El método preferido de comunicación especificado en la nota es a través de qTox, y se proporciona una identificación específica de qTox a las víctimas. La nota advierte explícitamente que no se debe contactar a los atacantes a través de otras empresas intermediarias, lo que sugiere que los atacantes solo están interesados en beneficiarse de la situación y desalentar cualquier participación de terceros.
En cuanto a las consecuencias por el incumplimiento, la nota de rescate indica que si no se establece contacto dentro de los tres días, los atacantes harán públicos los archivos de muestra como una forma de presionar a las víctimas. Además, si las víctimas aún no logran establecer contacto dentro de los siete días, la nota amenaza con hacer públicos todos los archivos cifrados. Para acceder a información adicional, se recomienda a las víctimas que utilicen el navegador Tor, que es conocido por sus funciones de anonimato.
Adopte un enfoque serio hacia la seguridad de sus dispositivos y datos
Los usuarios pueden adoptar varias medidas para proteger sus dispositivos y datos contra infecciones de ransomware de manera efectiva. En primer lugar, es crucial mantener un software de seguridad robusto y actualizado en sus dispositivos. Esto incluye el uso de software antimalware confiable que pueda detectar y bloquear amenazas de ransomware. Además, mantener el sistema operativo, las aplicaciones y el firmware actualizados con los parches y actualizaciones de seguridad más recientes es esencial para abordar cualquier vulnerabilidad que pueda explotar el ransomware.
Otra medida fundamental es la de tener precaución y vigilancia al navegar por Internet y abrir archivos adjuntos de correo electrónico. Los usuarios deben tener cuidado con los correos electrónicos, enlaces o archivos adjuntos sospechosos de fuentes desconocidas, ya que a menudo pueden servir como puntos de entrada para las infecciones de ransomware. Es recomendable verificar la autenticidad de los correos electrónicos y los archivos adjuntos antes de interactuar con ellos, especialmente si parecen inusuales o inesperados.
La copia de seguridad periódica de los datos relevantes es un aspecto crucial de la protección contra ransomware. La creación de copias de seguridad fuera de línea de los archivos necesarios y su almacenamiento en dispositivos separados o soluciones de almacenamiento en la nube ayuda a garantizar que los datos se puedan recuperar en caso de un ataque de ransomware. Es importante mantener varias copias de las copias de seguridad y asegurarse de que se almacenen de forma segura para evitar el acceso no autorizado.
Habilitar medidas de seguridad adicionales, como protección de firewall, sistemas de detección de intrusos y restringir los privilegios de los usuarios, puede crear una capa adicional de defensa contra el ransomware. Implementar contraseñas seguras y exclusivas y habilitar la autenticación de dos factores puede ayudar a evitar el acceso no autorizado a dispositivos y cuentas.
El texto de la nota de rescate lanzada por RA Group Ransomware es:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
