RA Group Ransomware

Die RA Group Ransomware zielt auf Unternehmen ab, indem sie eine erhebliche Menge wichtiger Daten verschlüsselt. Die Bedrohung ändert auch die ursprünglichen Namen der betroffenen Dateien. Bei jedem von der RA Group durchgeführten Angriff kann es sich um einen eindeutigen Lösegeldschein mit dem typischen Namen „How To Restore Your Files.txt“ handeln, der wahrscheinlich speziell für das Zielunternehmen oder die Zielorganisation erstellt wurde. Ebenso kann die RA-Gruppe den Dateinamen verschlüsselter Dateien für jedes einzelne Opfer eine andere Erweiterung hinzufügen.

In einem bestätigten Fall fügte die RA Group Ransomware den verschlüsselten Dateien die Erweiterung „.GAGUP“ hinzu. Insbesondere ist die Bedrohung durch die RA Group dafür bekannt, dass sie ein Verschlüsselungsverfahren verwendet, das auf dem durchgesickerten Quellcode der berüchtigten Babuk-Ransomware- Bedrohung basiert. Babuk, ein Ransomware-Unternehmen, das seine Aktivitäten im Jahr 2021 einstellte, diente als Grundlage für die Entwicklung der Verschlüsselungstechniken der RA Group.

Die Ransomware der RA Group stellt eine ernsthafte Gefahr für die Daten der Opfer dar

Der Lösegeldschein, der an die Opfer der RA Group Ransomware gerichtet ist, übermittelt eine klare Botschaft, dass ihre Daten verschlüsselt wurden. Darüber hinaus behaupten die Cyberkriminellen, Kopien aller kompromittierten Daten auf ihren Server geschleust zu haben, was den Angriff praktisch zu einer doppelten Erpressungsaktion macht. Solche Methoden stellen sicher, dass die Opfer den Forderungen der Angreifer nachkommen.

In der Notiz wird die Situation weiter erläutert und betont, dass die Angreifer die Daten der Opfer gestohlen und ihre Server verschlüsselt haben. Es versichert den Opfern, dass die verschlüsselten Dateien entschlüsselt werden können, was bedeutet, dass eine Möglichkeit zur Wiederherstellung ihrer Daten besteht. Darüber hinaus heißt es in dem Hinweis, dass die gespeicherten Daten dauerhaft gelöscht werden, sobald die Anforderungen der Angreifer erfüllt sind. Außerdem werden die verschiedenen Arten von Daten aufgeführt, auf die die Angreifer während des Verstoßes zugegriffen haben.

Um den Entschlüsselungsprozess einzuleiten, werden die Opfer angewiesen, Kontakt zu den Angreifern aufzunehmen und ein Lösegeld zu zahlen. Die in der Mitteilung genannte bevorzugte Kommunikationsmethode ist qTox, und den Opfern wird eine spezifische qTox-ID zur Verfügung gestellt. In der Mitteilung wird ausdrücklich davor gewarnt, die Angreifer über andere Zwischenfirmen zu kontaktieren, was darauf hindeutet, dass die Angreifer ausschließlich daran interessiert sind, aus der Situation Profit zu schlagen und jegliche Einmischung Dritter zu unterbinden.

Zu den Konsequenzen bei Nichteinhaltung heißt es in der Lösegeldforderung, dass die Angreifer, wenn innerhalb von drei Tagen kein Kontakt hergestellt wird, Musterdateien veröffentlichen werden, um Druck auf die Opfer auszuüben. Sollten die Opfer außerdem innerhalb von sieben Tagen immer noch keinen Kontakt herstellen, droht die Notiz mit der Veröffentlichung aller verschlüsselten Dateien. Um an zusätzliche Informationen zu gelangen, wird den Opfern empfohlen, den Tor-Browser zu verwenden, der für seine Anonymitätsfunktionen bekannt ist.

Nehmen Sie die Sicherheit Ihrer Geräte und Daten ernst

Benutzer können verschiedene Maßnahmen ergreifen, um ihre Geräte und Daten effektiv vor Ransomware-Infektionen zu schützen. Erstens ist die Aufrechterhaltung aktueller und robuster Sicherheitssoftware auf ihren Geräten von entscheidender Bedeutung. Dazu gehört die Verwendung zuverlässiger Anti-Malware-Software, die Ransomware-Bedrohungen erkennen und blockieren kann. Darüber hinaus ist es wichtig, das Betriebssystem, die Anwendungen und die Firmware mit den neuesten Sicherheitspatches und -updates auf dem neuesten Stand zu halten, um etwaige Schwachstellen zu beheben, die von Ransomware ausgenutzt werden könnten.

Eine weitere grundlegende Maßnahme besteht darin, beim Surfen im Internet und beim Öffnen von E-Mail-Anhängen Vorsicht und Wachsamkeit walten zu lassen. Benutzer sollten sich vor verdächtigen E-Mails, Links oder Anhängen aus unbekannten Quellen in Acht nehmen, da diese oft als Einstiegspunkte für Ransomware-Infektionen dienen können. Es ist ratsam, die Authentizität von E-Mails und Anhängen zu überprüfen, bevor Sie mit ihnen interagieren, insbesondere wenn sie ungewöhnlich oder unerwartet erscheinen.

Die regelmäßige Sicherung relevanter Daten ist ein entscheidender Aspekt des Ransomware-Schutzes. Das Erstellen von Offline-Backups der erforderlichen Dateien und deren Speicherung auf separaten Geräten oder Cloud-Speicherlösungen trägt dazu bei, sicherzustellen, dass Daten im Falle eines Ransomware-Angriffs wiederhergestellt werden können. Es ist wichtig, mehrere Kopien von Backups aufzubewahren und sicherzustellen, dass sie sicher gespeichert werden, um unbefugten Zugriff zu verhindern.

Die Aktivierung zusätzlicher Sicherheitsmaßnahmen wie Firewall-Schutz, Intrusion-Detection-Systeme und die Einschränkung von Benutzerrechten können eine zusätzliche Verteidigungsebene gegen Ransomware schaffen. Die Implementierung starker, exklusiver Passwörter und die Aktivierung der Zwei-Faktor-Authentifizierung können dazu beitragen, unbefugten Zugriff auf Geräte und Konten zu verhindern.

Der Text der von RA Group Ransomware hinterlassenen Lösegeldforderung lautet:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'