แรนซัมแวร์ RA Group เป็นภัยคุกคามล่าสุดที่ใช้โค้ดแรนซัมแวร์ Babuk ที่รั่วไหลออกมา บริษัทเผยแพร่เว็บไซต์ Tor ที่รั่วไหลออกมาเมื่อวันที่ 22 เมษายน 2023 และภายในวันที่ 27 เมษายน ข้อมูลที่ถูกขโมยของเหยื่อ 3 รายก็ถูกโพสต์ นี่เป็นแรนซัมแวร์ที่ปรับเปลี่ยนได้อย่างมาก ซึ่งใช้รายละเอียดขององค์กรเป้าหมายในบันทึกค่าไถ่และในไฟล์ปฏิบัติการของแรนซัมแวร์ คุณลักษณะเฉพาะนี้ทำให้ผู้เชี่ยวชาญเชื่อว่า RA Group มีรูปแบบที่แตกต่างกันสำหรับเหยื่อแต่ละราย
RA Group คือแรนซัมแวร์ ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสและล็อคไฟล์ของเหยื่อ จากนั้นจึงขอค่าไถ่เพื่อแลกกับคีย์ถอดรหัส แก๊งนี้มุ่งเน้นไปที่การขู่กรรโชกซ้ำซ้อนโดยเรียกร้องการชำระเงินเพื่อไม่ให้ข้อมูลที่รวบรวมรั่วไหลไปยังเว็บไซต์ Tor ของพวกเขา
ระบุกลุ่ม RA
ชื่อที่ได้รับการยืนยัน
- ไวรัสกลุ่ม RA
ประเภทภัยคุกคาม
- แรนซัมแวร์
- ไวรัสเข้ารหัส
- ตู้เก็บไฟล์
นามสกุลไฟล์ที่เข้ารหัส
- .GAGUP
- ผู้ที่ตกเป็นเหยื่ออาจเห็นส่วนขยายที่แตกต่างกัน
ข้อความเรียกร้องค่าไถ่
- วิธีคืนค่า Files.txt ของคุณ
มีตัวถอดรหัสฟรีหรือไม่?
- ไม่ ไม่มีตัวถอดรหัสสำหรับ RA Group Ransomware
ชื่อการตรวจจับ
- อวาสท์Win64:RansomX-gen [ค่าไถ่]
- เอ็มซิสซอฟท์Generic.Ransom.Babuk.!s!.G.8D150263
- แคสเปอร์สกี้โทรจัน-Ransom.Win32.Encoder.txd
- มัลแวร์ไบต์ค่าไถ่บาบุค
อาการ
เรียนรู้เพิ่มเติม:
- ไม่สามารถเปิดไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์ได้
- จดหมายเรียกค่าไถ่บนเดสก์ท็อปและทุกโฟลเดอร์
- ไฟล์มีนามสกุลใหม่
- ข้อความพร้อมคำแนะนำจะปรากฏขึ้นเมื่อเหยื่อพยายามเปิดไฟล์ที่เข้ารหัส
ตระกูลแรนซัมแวร์ ประเภท และตัวแปร
- กลุ่มแรนซัมแวร์ RA Group
- ใช้ซอร์สโค้ดที่รั่วไหลของ Babuk เพื่อสร้างแรนซัมแวร์ของตัวเอง
วิธีการจัดจำหน่าย
- ผู้เชี่ยวชาญยังคงตรวจสอบวิธีการกระจายแรนซัมแวร์ RA Group
- เชื่อกันว่ากลุ่มคนร้ายใช้ช่องโหว่ของระบบ เช่น ข้อมูลประจำตัวการเข้าถึงระยะไกลที่ถูกขโมย
ผลที่ตามมา
- ไฟล์จะถูกเข้ารหัสและล็อคจนกว่าจะจ่ายค่าไถ่
- การขโมยรหัสผ่าน
- ข้อมูลรั่วไหลบนเว็บไซต์แก๊งทอร์
การป้องกัน
- โปรแกรมป้องกันไวรัสและมัลแวร์
- ลบบัญชีและข้อมูลประจำตัวที่ไม่ได้ใช้
- ใช้การรับรองความถูกต้องแบบหลายปัจจัย
- อัปเดตซอฟต์แวร์
- อัปเดตระบบปฏิบัติการ (OS)
- ไฟร์วอลล์
- อย่าเปิดไฟล์แนบอีเมลจากแหล่งที่ไม่รู้จัก
- อย่าดาวน์โหลดไฟล์จากเว็บไซต์ที่น่าสงสัย
- อย่าคลิกโฆษณาเว้นแต่คุณจะแน่ใจว่าปลอดภัย
- เข้าถึงเว็บไซต์จากแหล่งที่เชื่อถือได้เท่านั้น
โดเมน RA กลุ่มทอร์:
- hxxps://qtox.github.io
- hxxps://www.torproject.org
RA Group แพร่เชื้อคอมพิวเตอร์ของคุณอย่างไร
RA Group ransomware พบทางเข้าสู่คอมพิวเตอร์หรือเครือข่ายของคุณด้วยวิธีการต่างๆ มากมาย:
- ข้อมูลประจำตัวที่ถูกขโมยอาชญากรสามารถได้รับข้อมูลประจำตัวที่ถูกขโมยผ่านการละเมิด อุปกรณ์ที่ติดมัลแวร์ หรือโดยการซื้อบนเว็บที่มืด เมื่อพวกเขาสามารถเข้าถึงระบบได้ พวกเขาสามารถติดตั้งแรนซัมแวร์และเรียกร้องการชำระเงินจากเหยื่อได้ เพื่อลดการใช้รายละเอียดการเข้าสู่ระบบที่ถูกขโมยภายในระบบ จึงมีวิธีการที่มีประสิทธิภาพ เช่น การใช้การรับรองความถูกต้องแบบหลายปัจจัย นโยบายรหัสผ่าน และการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยเป็นประจำสำหรับพนักงาน
- บริการระยะไกลที่มีช่องโหว่อีกวิธีหนึ่งที่การโจมตีด้วยแรนซัมแวร์ RA Group เกิดขึ้นคือผ่านบริการระยะไกลภายนอกที่ไม่ปลอดภัย ผู้โจมตีจะใช้ประโยชน์จากเครื่องมือ Remote Desktop Protocol (RDP) ซึ่งข้อมูลประจำตัวเป็นที่รู้จัก นำมาใช้ซ้ำ ไม่รัดกุม หรือเรียบเรียงใหม่ เพื่อเข้าถึงเครือข่ายของธุรกิจและข้อมูลรั่วไหล
- ช่องโหว่ของซอฟต์แวร์ที่ทราบแฮกเกอร์ใช้ซอฟต์แวร์ที่มีช่องโหว่เพื่อโจมตีธุรกิจเช่นกัน นั่นเป็นสาเหตุว่าทำไมการอัพเดตซอฟต์แวร์ทุกตัวและปกป้องเครื่องมือการดูแลระบบระยะไกลเช่น RDP จึงเป็นเรื่องสำคัญมาก
- แหล่งดาวน์โหลดซอฟต์แวร์ที่ไม่เป็นทางการและแคร็กซอฟต์แวร์ละเมิดลิขสิทธิ์และแคร็กมักเป็นโปรแกรมที่เป็นอันตราย นอกจากนี้ซอฟต์แวร์นี้จะไม่มีการอัพเดตที่จำเป็นในการปรับปรุงโปรแกรมและป้องกันช่องโหว่ที่แฮกเกอร์สามารถหาประโยชน์ได้
- โทรจันโทรจันคือซอฟต์แวร์ที่สัญญาว่าจะทำงานอย่างหนึ่ง แต่ทำอีกงานหนึ่ง ซึ่งส่วนใหญ่เป็นโปรแกรมที่เป็นอันตราย พวกเขาอยู่ในรูปแบบของโปรแกรมปลอม ไฟล์แนบ และไฟล์ประเภทอื่นๆ เพื่อหลอกลวงเหยื่อ
บันทึกเรียกค่าไถ่ RA Group
บันทึกค่าไถ่ RA Group จะอยู่ในทุกโฟลเดอร์บนคอมพิวเตอร์และเดสก์ท็อปของคุณในรูปแบบไฟล์ข้อความ มันถูกปรับแต่งด้วยชื่อของเหยื่อ ซึ่งหมายความว่าการโจมตีแต่ละครั้งจะมีบันทึกค่าไถ่ที่ไม่ซ้ำกัน นี่คือตัวอย่างบันทึกค่าไถ่:
# RA Group—-## การแจ้งเตือน ข้อมูลของคุณได้รับการเข้ารหัสเมื่อคุณอ่านจดหมายนี้ เราได้คัดลอกข้อมูลทั้งหมดไปยังเซิร์ฟเวอร์ของเราแล้ว แต่อย่ากังวล ข้อมูลของคุณจะไม่ถูกบุกรุกหรือเปิดเผยสู่สาธารณะหากคุณทำในสิ่งที่ฉันต้องการ
## เราทำอะไรได้บ้างเรานำข้อมูลของคุณและเข้ารหัสเซิร์ฟเวอร์ของคุณ ไฟล์ที่เข้ารหัสสามารถถอดรหัสได้ เราได้บันทึกข้อมูลของคุณอย่างถูกต้อง เราจะลบข้อมูลที่บันทึกไว้หากคุณมีคุณสมบัติตรงตามข้อกำหนดของเรา เราใช้ข้อมูลต่อไปนี้:[บริษัท] เอกสารข้อมูลซัพพลายเออร์ ข้อมูลลูกค้า ข้อมูลการชำระเงิน ข้อมูลพนักงาน บัญชีเงินเดือน ภาษีการขาย งบการเงิน รายงานประจำปีทางการเงิน รายงานรายไตรมาส[บริษัท] สัญญาแผนธุรกิจ ใบแจ้งหนี้vtex การสำรองข้อมูลอีเมลภายในพนักงาน infoemployee
## สิ่งที่เราต้องการ? ติดต่อเรา ชำระค่าถอดรหัส
## ติดต่อเราได้อย่างไรเราใช้ qTox ในการติดต่อ คุณสามารถรับข้อมูลเพิ่มเติมได้จากเว็บไซต์สำนักงาน qTox:
รหัส qTox ของเราคือ:
เราไม่มีการติดต่ออื่นใด หากไม่มีการติดต่อภายใน 3 วัน เราจะเปิดเผยไฟล์ตัวอย่างให้เป็นสาธารณะ หากไม่มีการติดต่อภายใน 7 วัน เราจะเปิดเผยไฟล์ดังกล่าวให้เป็นสาธารณะ
## แนะนำอย่าติดต่อเราผ่านบริษัทอื่น พวกเขาแค่ได้รับส่วนต่างเท่านั้น
## ข้อมูลการปล่อยตัวอย่างไฟล์:
ไฟล์ทั้งหมด:
คุณสามารถใช้ Tor Browser เพื่อเปิด .onion url
ข้อมูลเพิ่มเติมจากเว็บไซต์ Tor office:
แรนซั่มแวร์ RA Group ทำงานอย่างไร
แรนซั่มแวร์ RA Group ใช้การเข้ารหัสแบบไม่ต่อเนื่อง ซึ่งจะสลับระหว่างการเข้ารหัสและไม่เข้ารหัสส่วนของไฟล์ สิ่งนี้ทำให้การเข้ารหัสเร็วขึ้น แต่ยังช่วยให้สามารถกู้คืนข้อมูลได้บางส่วน RA Group ransomware ใช้เส้นโค้ง 25519 และอัลกอริธึมการเข้ารหัส eSTREAM hc-128 เพื่อเข้ารหัสข้อมูล แรนซัมแวร์ยังลบ Shadow Copy และข้อมูลถังรีไซเคิลสำหรับการกู้คืนข้อมูลที่ยากลำบาก การติดต่อบริการกำจัดแรนซัมแวร์ไม่เพียงแต่สามารถกู้คืนไฟล์ของคุณเท่านั้น แต่ยังช่วยกำจัดภัยคุกคามที่อาจเกิดขึ้นอีกด้วย
ป้องกันการโจมตีแรนซัมแวร์ RA Group
การป้องกันการโจมตีจากแรนซัมแวร์นั้นง่ายกว่าและราคาถูกกว่าการกู้คืนจากการโจมตีเหล่านั้น แรนซั่มแวร์ RA Group อาจทำให้ธุรกิจของคุณต้องสูญเสียอนาคตและอาจปิดตัวลงได้
ที่แก๊ง RA Group มุ่งเป้าไปที่โรงพยาบาลในสหรัฐฯ เพื่อขโมยข้อมูลผู้ป่วย 1 ล้านคนและใช้ประโยชน์จากช่องโหว่ที่เรียกว่าซีโรเดย์ สิ่งเหล่านี้คือการละเมิดซอฟต์แวร์ที่นักพัฒนาแก้ไขผ่านการอัพเดตใหม่ จากข้อมูลของ HHS ในปี 2022 โรงพยาบาลมากกว่า 289 แห่งตกเป็นเหยื่อของ RA Group ซึ่งหมายความว่าคุณต้องอัปเดตซอฟต์แวร์อยู่เสมอเพื่อปกป้องข้อมูลของคุณจากแรนซัมแวร์ RA Group อย่างไรก็ตาม อาชญากรไซเบอร์อาจเร็วกว่าในบางครั้งและเข้าถึงเหยื่อได้ก่อนที่จะมีการเปิดตัวการอัปเดต
1. ใช้รหัสผ่านที่รัดกุม
ตรวจสอบให้แน่ใจว่าแต่ละบัญชีมีรหัสผ่านที่สร้างขึ้นแบบสุ่มโดยใช้ตัวเลข ตัวอักษร และอักขระพิเศษผสมกัน เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
2. อัพเดตซอฟต์แวร์อยู่เสมอ
ดังที่ได้กล่าวไว้ก่อนหน้านี้ การอัปเดตซอฟต์แวร์สามารถปิดช่องโหว่ที่ผู้โจมตีทางไซเบอร์สามารถโจมตีเพื่อเข้าสู่เครือข่ายธุรกิจของคุณได้ การอัปเดตซอฟต์แวร์อยู่เสมอจะช่วยเพิ่มความปลอดภัยให้กับระบบของคุณ
3. กำหนดเวลาการสำรองข้อมูลตามปกติ
การสำรองข้อมูลเป็นวิธีที่มีประสิทธิภาพที่สุดในการกู้คืนข้อมูลของคุณ ไม่ว่าคุณจะสูญหายเนื่องจากภัยพิบัติทางธรรมชาติหรือการโจมตีทางไซเบอร์ก็ตาม นอกจากนี้ยังเป็นวิธีที่เร็วที่สุดในการกลับไปทำงานหลังเกิดภัยพิบัติ เช่น การโจมตี RA Group
4. ใช้โซลูชันความปลอดภัยทางไซเบอร์
การจ้างบริการรักษาความปลอดภัยทางไซเบอร์หรือการมีทีมงานไอทีเพื่อรักษาข้อมูลของคุณให้ปลอดภัยจะป้องกันไม่ให้ผู้โจมตีทางไซเบอร์เข้าถึงข้อมูลของคุณได้ ผู้เชี่ยวชาญเหล่านี้สามารถสแกนระบบของคุณเพื่อหาช่องโหว่และสร้างมาตรการเพื่อปรับปรุงโปรโตคอลและการรับรู้ด้านความปลอดภัยทางไซเบอร์ในธุรกิจของคุณ
5. มีแผนการฟื้นฟูอยู่ในมือ
แผนการกู้คืนข้อมูล (DRP) เป็นเอกสารที่กำหนดกลยุทธ์ในการจัดการกับภัยพิบัติ เช่น การโจมตีแรนซัมแวร์ ช่วยให้สามารถกู้คืนข้อมูลได้เร็วขึ้นและความต่อเนื่องทางธุรกิจ ดูวิธีสร้างแผนการกู้คืนข้อมูลพร้อมคำแนะนำเชิงลึกของเรา
วิธีจัดการกับการโจมตีแรนซัมแวร์ RA Group
ขั้นตอนแรกในการกู้คืนจากการโจมตี RA Group คือการแยกคอมพิวเตอร์ที่ติดไวรัสออกโดยตัดการเชื่อมต่อจากอินเทอร์เน็ตและถอดอุปกรณ์ที่เชื่อมต่ออยู่ออก จากนั้นคุณต้องติดต่อหน่วยงานท้องถิ่น ในกรณีของผู้อยู่อาศัยและธุรกิจในสหรัฐฯ ก็คือสำนักงานภาคสนามของ FBI ในพื้นที่และศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3).
หากต้องการรายงานการโจมตีแรนซัมแวร์ คุณต้องรวบรวมข้อมูลทุกอย่างเกี่ยวกับมัน รวมถึง:
- ภาพหน้าจอของบันทึกค่าไถ่
- การสื่อสารกับนักแสดง RA Group (หากคุณมี)
- ตัวอย่างไฟล์ที่เข้ารหัส
คุณต้องไม่ได้ลบ ransomwareและเก็บหลักฐานการโจมตีทั้งหมดไว้ นั่นเป็นสิ่งสำคัญสำหรับนิติดิจิตอลเพื่อให้ผู้เชี่ยวชาญสามารถติดตามกลับไปยังกลุ่มแฮกเกอร์และระบุตัวตนได้ โดยการใช้ข้อมูลบนระบบที่ติดไวรัสของคุณที่เจ้าหน้าที่สามารถทำได้ตรวจสอบการโจมตีและค้นหาผู้รับผิดชอบการสืบสวนการโจมตีทางไซเบอร์ไม่แตกต่างจากการสืบสวนคดีอาญาอื่นๆ: จำเป็นต้องมีหลักฐานเพื่อค้นหาผู้โจมตี หลังจากแยกอุปกรณ์และติดต่อหน่วยงานแล้ว คุณต้องทำตามขั้นตอนถัดไปเพื่อดึงข้อมูลของคุณ:
1. ติดต่อผู้รับผิดชอบการตอบสนองเหตุการณ์ของคุณ
การตอบสนองเหตุการณ์ทางไซเบอร์เป็นกระบวนการตอบสนองและจัดการเหตุการณ์ความปลอดภัยทางไซเบอร์ Incident Response Retainer คือข้อตกลงการบริการกับผู้ให้บริการความปลอดภัยทางไซเบอร์ที่ช่วยให้องค์กรต่างๆ ได้รับความช่วยเหลือจากภายนอกเกี่ยวกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ โดยมอบรูปแบบโครงสร้างความเชี่ยวชาญและการสนับสนุนแก่องค์กรต่างๆ ผ่านพันธมิตรด้านความปลอดภัย ช่วยให้พวกเขาสามารถตอบสนองได้อย่างรวดเร็วและมีประสิทธิภาพในกรณีที่เกิดเหตุการณ์ทางไซเบอร์ ผู้รักษาการตอบสนองต่อเหตุการณ์มอบความอุ่นใจให้กับองค์กรต่างๆ โดยให้การสนับสนุนจากผู้เชี่ยวชาญทั้งก่อนและหลังเหตุการณ์ที่เกิดขึ้นด้านความปลอดภัยทางไซเบอร์ ลักษณะและโครงสร้างเฉพาะของหน่วยงานตอบสนองต่อเหตุการณ์จะแตกต่างกันไปตามผู้ให้บริการและข้อกำหนดขององค์กร ผู้รักษาการตอบสนองต่อเหตุการณ์ที่ดีควรมีความเข้มแข็งแต่มีความยืดหยุ่น โดยให้บริการที่ได้รับการพิสูจน์แล้วเพื่อปรับปรุงมาตรการรักษาความปลอดภัยในระยะยาวขององค์กร
2. ระบุการติดเชื้อ ransomware
คุณสามารถตรวจสอบว่าแรนซัมแวร์ตัวใดที่ติดไวรัสในเครื่องของคุณด้วยนามสกุลไฟล์ (แรนซัมแวร์บางตัวใช้นามสกุลไฟล์เป็นชื่อ) หรือจะอยู่ในบันทึกค่าไถ่ ด้วยข้อมูลนี้ คุณสามารถค้นหาคีย์ถอดรหัสสาธารณะได้ ในกรณีของแรนซัมแวร์ RA Group ระบบที่ใช้ Linux จะมีตัวถอดรหัส
3. ลบ ransomware และกำจัดชุดช่องโหว่
ก่อนที่จะกู้คืนข้อมูลของคุณ คุณต้องรับประกันว่าอุปกรณ์ของคุณปราศจากแรนซัมแวร์และผู้โจมตีไม่สามารถทำการโจมตีครั้งใหม่ผ่านชุดช่องโหว่หรือช่องโหว่อื่น ๆ บริการกำจัดแรนซัมแวร์สามารถลบแรนซัมแวร์ สร้างเอกสารนิติเวชสำหรับการสอบสวน กำจัดช่องโหว่ และกู้คืนข้อมูลของคุณ
4. ใช้การสำรองข้อมูลเพื่อกู้คืนข้อมูล
การสำรองข้อมูลเป็นวิธีที่มีประสิทธิภาพที่สุดในการกู้คืนข้อมูล ตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลรายวันหรือรายสัปดาห์ ขึ้นอยู่กับการใช้ข้อมูลของคุณ
5. ติดต่อบริการกู้คืนแรนซัมแวร์
หากคุณไม่มีข้อมูลสำรองหรือต้องการความช่วยเหลือในการลบแรนซัมแวร์และกำจัดช่องโหว่ คุณควรติดต่อบริการกู้คืนข้อมูล การจ่ายค่าไถ่ไม่ได้รับประกันว่าข้อมูลของคุณจะถูกส่งคืนให้กับคุณ วิธีเดียวที่รับประกันว่าคุณสามารถกู้คืนทุกไฟล์ได้คือถ้าคุณมีข้อมูลสำรองไว้ หากคุณไม่ทำเช่นนั้น บริการกู้คืนข้อมูลแรนซัมแวร์จะช่วยคุณถอดรหัสและกู้คืนไฟล์ได้ ผู้เชี่ยวชาญ SalvageData สามารถกู้คืนไฟล์ของคุณได้อย่างปลอดภัย และรับประกันว่าแรนซัมแวร์ RA Group จะไม่โจมตีเครือข่ายของคุณอีก ติดต่อผู้เชี่ยวชาญของเราทุกวันตลอด 24 ชั่วโมงเพื่อรับบริการกู้คืนฉุกเฉินหรือค้นหาศูนย์กู้คืนใกล้บ้านคุณ
