Home Qu'est-ce que le ransomware du groupe RA et comment prévenir une attaque

Qu'est-ce que le ransomware du groupe RA et comment prévenir une attaque

Le ransomware RA Group est une menace récente qui utilise le code du ransomware Babuk divulgué. Il a publié son site Web Tor divulgué le 22 avril 2023 et, le 27 avril, les données volées de trois victimes ont été publiées. Il s'agit d'un ransomware très adaptable qui utilise les détails de l'organisation cible sur ses notes de rançon et sur le fichier exécutable du ransomware. Cette caractéristique unique fait croire aux experts que RA Group propose une variante pour chaque victime.

De quel type de malware est RA Group ?

RA Group est un ransomware, qui est un type de malware qui crypte et verrouille les fichiers des victimes, puis demande une rançon en échange de la clé de décryptage. Le gang se concentre sur la double tactique d'extorsion, exigeant un paiement pour ne pas divulguer les données collectées sur leur site Web Tor.

Identifier le groupe RA

Nom confirmé

  • Virus du groupe RA

Type de menace

  • Rançongiciel
  • Virus cryptographique
  • Casier de fichiers

Extension de fichiers cryptés

  • .GAGUP
  • Les victimes peuvent voir différentes extensions

Message exigeant une rançon

  • Comment restaurer vos fichiers.txt

Existe-t-il un décrypteur gratuit disponible ?

  • Non, aucun décrypteur n'est disponible pour le RA Group Ransomware

Noms de détection

  • AvastWin64 : RansomX-gen [Rançon]
  • EmsisoftGénérique.Ransom.Babuk.!s!.G.8D150263
  • KasperskyTrojan-Ransom.Win32.Encoder.txd
  • MalwarebytesRançon.Babuk

Symptômes

  • Impossible d'ouvrir les fichiers stockés sur l'ordinateur
  • Lettre de demande de rançon sur le bureau et dans chaque dossier
  • Les fichiers ont une nouvelle extension
  • Une note avec des instructions apparaît lorsque la victime tente d'ouvrir un fichier crypté

Famille, type et variante de ransomwares

  • Famille de ransomwares du groupe RA.
  • Il a utilisé le code source divulgué de Babuk pour créer son propre ransomware

Méthodes de distribution

  • Les experts étudient toujours les méthodes de distribution du ransomware du groupe RA
  • On pense que le gang utilise les vulnérabilités du système, comme le vol d'identifiants d'accès à distance.

Conséquences

  • Les fichiers sont cryptés et verrouillés jusqu'au paiement de la rançon
  • Vol de mot de passe
  • Fuite de données sur le site du gang Tor

Prévention

  • Antivirus et anti-malware
  • Supprimez tout compte et informations d'identification inutilisés
  • Appliquer l'authentification multifacteur
  • Logiciel mis à jour
  • Système d'exploitation (OS) mis à jour
  • Pare-feu
  • N'ouvrez pas une pièce jointe à un e-mail provenant d'une source inconnue
  • Ne téléchargez pas de fichiers à partir de sites Web suspects
  • Ne cliquez pas sur les publicités sauf si vous êtes sûr que c'est sûr
  • Accédez uniquement aux sites Web provenant de sources fiables

Domaines Tor du groupe RA :

  • hxxps://qtox.github.io
  • hxxps://www.torproject.org

Comment RA Group a-t-il infecté votre ordinateur

Le ransomware du groupe RA se fraye un chemin dans votre ordinateur ou votre réseau par de nombreuses méthodes :

  • Informations d'identification volées.Les criminels peuvent obtenir des informations d'identification volées via des violations, des appareils infectés par des logiciels malveillants ou en les achetant sur le dark web. Une fois qu’ils ont accès à un système, ils peuvent installer un ransomware et exiger un paiement de la victime. Pour réduire l'utilisation d'informations de connexion volées au sein d'un système, il existe des moyens efficaces tels que la mise en œuvre d'une authentification multifacteur, de politiques de mot de passe et d'une formation régulière de sensibilisation à la sécurité pour les employés.
  • Service à distance vulnérable.Une autre façon dont les attaques de ransomware du groupe RA se produisent consiste à utiliser des services distants externes non sécurisés. Les attaquants exploiteront les outils RDP (Remote Desktop Protocol) dont les informations d'identification sont connues, réutilisées, faibles ou reformulées pour accéder aux réseaux des entreprises et fuir des données.
  • Vulnérabilités logicielles connues.Les pirates utilisent également des logiciels présentant des vulnérabilités connues pour attaquer les entreprises. C'est pourquoi il est très important de maintenir tous les logiciels à jour et de protéger les outils d'administration à distance comme RDP.
  • Sources de téléchargement de logiciels non officielles et cracks.Les logiciels pirates et les cracks sont généralement des programmes malveillants. De plus, ce logiciel ne disposera pas des mises à jour nécessaires pour améliorer le programme et prévenir les vulnérabilités que les pirates pourraient exploiter.
  • Des chevaux de Troie.Un cheval de Troie est un logiciel qui promet d'effectuer une tâche mais en exécute une autre, généralement malveillante. Ils prennent la forme de faux programmes, pièces jointes et autres types de fichiers, trompant les victimes.

Demande de rançon du groupe RA

La demande de rançon de RA Group se trouvera dans chaque dossier de votre ordinateur et de votre bureau sous forme de fichier texte. Il est personnalisé avec le nom de la victime, ce qui signifie que chaque attaque est associée à une demande de rançon unique. Voici un exemple de la demande de rançon :

# RA Group—-## NotificationVos données ont été cryptées lorsque vous avez lu cette lettre.Nous avons copié toutes les données sur notre serveur.Mais ne vous inquiétez pas, vos données ne seront pas compromises ni rendues publiques si vous faites ce que je veux.

## Qu'avons-nous fait ?Nous avons pris vos données et chiffré vos serveurs, les fichiers cryptés peuvent être décryptés.Nous avons enregistré vos données correctement, nous supprimerons les données enregistrées si vous répondez à nos exigences.Nous avons pris les données suivantes :[ENTREPRISE] Documentsinformations sur le fournisseurInformations client, informations de paiementInformations sur les employés, paie, comptabilité, taxe de vente, états financiers, rapport financier annuel, rapport trimestriel[ENTREPRISE] CONTRATplan d'affairescontratfacturesvtex infosauvegarde interne des e-mails des employés

## Ce que nous voulons ? Contactez-nous, payez le décryptage.

A lire aussi :Qu'est-ce qu'une attaque par hameçonnage et comment éviter de devenir une victime

## Comment nous contacter ?Nous utilisons qTox pour nous contacter, vous pouvez obtenir plus d'informations sur le site Web du bureau qTox :

Notre identifiant qTox est :

Nous n'avons aucun autre contact. S'il n'y a pas de contact dans les 3 jours, nous rendrons publics les exemples de fichiers. S'il n'y a pas de contact dans les 7 jours, nous rendrons le fichier public.

## RecommandeNe nous contactez pas via d'autres sociétés, elles gagnent simplement la différence.

## Communiqué d'informationExemples de fichiers :

Tous les fichiers :

Vous pouvez utiliser le navigateur Tor pour ouvrir l’URL .onion.

Obtenez plus d’informations sur le site Web du bureau Tor :

Le ransomware RA Group utilise un cryptage intermittent, qui alterne entre le cryptage et le non-cryptage de sections de fichiers. Cela rend le cryptage plus rapide, mais cela permet également une récupération partielle des données. Le ransomware RA Group utilise les algorithmes de chiffrement Curve25519 et eSTREAM hc-128 pour crypter les données. Le ransomware supprime également les clichés instantanés et les données de la corbeille pour une récupération de données difficile. Contacter un service de suppression de ransomware peut non seulement restaurer vos fichiers, mais également supprimer toute menace potentielle.

Empêcher les attaques de ransomware du groupe RA

Il est plus facile et moins coûteux de prévenir les attaques de ransomware que de s’en remettre. Le ransomware du groupe RA peut coûter l’avenir de votre entreprise et même fermer ses portes.

LeUn gang du groupe RA cible les hôpitaux américains pour voler les données d'un million de patientset exploiter des vulnérabilités connues sous le nom de zero-day. Il s’agit de failles logicielles que les développeurs corrigent grâce à de nouvelles mises à jour. Selon le HHS, en 2022, plus de 289 hôpitaux ont été victimes du RA Group. Cela signifie que vous devez conserver un logiciel à jour pour protéger vos données contre le ransomware du RA Group. Cependant, les cybercriminels peuvent parfois être plus rapides et atteindre leurs victimes avant la publication d’une mise à jour.

1. Utilisez des mots de passe forts

Assurez-vous que chaque compte dispose d'un mot de passe créé aléatoirement avec un mélange de chiffres, de lettres et de caractères spéciaux pour empêcher tout accès non autorisé.

2. Gardez le logiciel à jour

Comme mentionné précédemment, les mises à jour logicielles peuvent corriger les vulnérabilités que les cyberattaquants peuvent exploiter pour pénétrer dans votre réseau d'entreprise. Garder le logiciel à jour augmentera la sécurité de votre système.

3. Planifiez des sauvegardes régulières

Les sauvegardes constituent le moyen le plus efficace de restaurer vos données, que vous les ayez perdues à cause d'une catastrophe naturelle ou d'une cyberattaque. Ils constituent également la méthode la plus rapide pour retourner au travail après une catastrophe telle qu’une attaque du groupe RA.

4. Utiliser une solution de cybersécurité

Faire appel à un service de cybersécurité ou disposer d’une équipe informatique pour assurer la sécurité de vos données empêchera les cyberattaquants d’accéder à vos données. Ces professionnels peuvent analyser votre système à la recherche de vulnérabilités et créer des mesures pour améliorer les protocoles et la sensibilisation à la cybersécurité de votre entreprise.

5. Ayez un plan de relance en main

Un plan de récupération de données (DRP) est un document qui définit des stratégies sur la manière de gérer les catastrophes telles que les attaques de ransomware. Ils permettent une récupération plus rapide et une continuité des activités. Découvrez comment créer un plan de récupération de données avec notre guide détaillé.

Comment gérer une attaque de ransomware du groupe RA

La première étape pour se remettre de l’attaque du RA Group consiste à isoler l’ordinateur infecté en le déconnectant d’Internet et en supprimant tout appareil connecté. Ensuite, vous devez contacter les autorités locales. Dans le cas des résidents et des entreprises américaines, c'est lebureau local du FBIet leCentre de plaintes contre la criminalité sur Internet (IC3).

Pour signaler une attaque de ransomware, vous devez rassembler toutes les informations possibles à son sujet, notamment :

  • Captures d'écran de la demande de rançon
  • Communications avec les acteurs du Groupe RA (si vous en avez)
  • Un échantillon d'un fichier crypté

Vous devezne pas supprimer le ransomware, et conservez toutes les preuves de l'attaque. C'est important pourcriminalistique numériqueafin que les experts puissent remonter jusqu'au groupe de hackers et les identifier. C'est en utilisant les données de votre système infecté que les autorités peuventenquêtez sur l'attaque et trouvez le responsable.Une enquête sur une cyberattaque n'est pas différente de toute autre enquête criminelle : elle a besoin de preuves pour retrouver les attaquants. Après avoir isolé l'appareil et contacté les autorités, vous devez suivre les étapes suivantes pour récupérer vos données :

1. Contactez votre mandataire de réponse aux incidents

Une réponse à un cyberincident est le processus de réponse et de gestion d’un incident de cybersécurité. Un Incident Response Retainer est un accord de service avec un fournisseur de cybersécurité qui permet aux organisations d'obtenir une aide externe en cas d'incidents de cybersécurité. Il fournit aux organisations une forme structurée d'expertise et de soutien par l'intermédiaire d'un partenaire de sécurité, leur permettant de réagir rapidement et efficacement en cas de cyberincident. Un service de réponse aux incidents offre une tranquillité d'esprit aux organisations, en offrant un soutien expert avant et après un incident de cybersécurité. La nature et la structure spécifiques d'un mandat de réponse à incident varient en fonction du fournisseur et des exigences de l'organisation. Un bon dispositif de réponse aux incidents doit être robuste mais flexible, fournissant des services éprouvés pour améliorer la posture de sécurité à long terme d'une organisation.

2. Identifiez l'infection par le ransomware

Vous pouvez vérifier quel ransomware a infecté votre ordinateur grâce à l’extension de fichier (certains ransomwares utilisent l’extension de fichier comme nom), ou cela figurera sur la note de rançon. Avec ces informations, vous pouvez rechercher une clé publique de déchiffrement. Dans le cas du ransomware RA Group, les systèmes basés sur Linux disposent d'un décrypteur.

3. Supprimez le ransomware et éliminez les kits d'exploitation

Avant de récupérer vos données, vous devez garantir que votre appareil est exempt de ransomware et que les attaquants ne peuvent pas lancer une nouvelle attaque via des kits d'exploitation ou d'autres vulnérabilités. Un service de suppression de ransomware peut supprimer le ransomware, créer un document médico-légal pour enquête, éliminer les vulnérabilités et récupérer vos données.

4. Utilisez une sauvegarde pour restaurer les données

Les sauvegardes sont le moyen le plus efficace de récupérer des données. Assurez-vous de conserver des sauvegardes quotidiennes ou hebdomadaires, en fonction de votre utilisation des données.

5. Contactez un service de récupération de ransomware

Si vous ne disposez pas de sauvegarde ou si vous avez besoin d'aide pour supprimer le ransomware et éliminer les vulnérabilités, vous devez contacter un service de récupération de données. Le paiement de la rançon ne garantit pas que vos données vous seront restituées. La seule manière garantie de restaurer chaque fichier est d’en disposer. Si ce n'est pas le cas, les services de récupération de données de ransomware peuvent vous aider à décrypter et à récupérer les fichiers. Les experts de SalvageData peuvent restaurer vos fichiers en toute sécurité et garantir que le ransomware du groupe RA n'attaquera plus votre réseau. Contactez nos experts 24h/24 et 7j/7 pour un service de récupération d'urgence ou trouvez un centre de récupération près de chez vous.

Related Posts

Exporter les membres du groupe Microsoft 365 vers CSV avec PowerShell

Exporter les membres du groupe Microsoft 365 vers CSV avec PowerShell

2024-03-24
Comment modifier la sortie audio par défaut dans Windows 11

Comment modifier la sortie audio par défaut dans Windows 11

2025-04-01
Comment corriger «Désolé, il y a eu un problème pour le montage du fichier» Erreur dans Windows

Comment corriger «Désolé, il y a eu un problème pour le montage du fichier» Erreur dans Windows

2025-04-20
Comment corriger les alarmes d'attestation TPM hôte dans VMware vSphere

Comment corriger les alarmes d'attestation TPM hôte dans VMware vSphere

2025-03-27
Comment corriger la méthode pour désactiver le mot de passe sur iPhone / iPad lorsqu'il est grisé

Comment corriger la méthode pour désactiver le mot de passe sur iPhone / iPad lorsqu'il est grisé

2025-05-14
Comment changer les utilisateurs de Windows 10

Comment changer les utilisateurs de Windows 10

2025-05-07
Chatgpt ajoute une caisse instantanée, vous permet de magasiner sans quitter le chat

Chatgpt ajoute une caisse instantanée, vous permet de magasiner sans quitter le chat

2025-09-30
Testeur de contrôleurs et de manettes de jeu

Testeur de contrôleurs et de manettes de jeu

2025-04-06
Comment supprimer Mosyle MDM de l'iPad [3 façons]

Comment supprimer Mosyle MDM de l'iPad [3 façons]

2024-09-16
[Corrigé] PGSharp bloqué sur l'écran de chargement : conseils et solutions

[Corrigé] PGSharp bloqué sur l'écran de chargement : conseils et solutions

2024-10-21
Comment partager des photos d'Instagram vers Facebook

Comment partager des photos d'Instagram vers Facebook

2025-01-17
Activer la mise à l'échelle fractionnaire pour un meilleur affichage sur les écrans HIDPI dans Linux

Activer la mise à l'échelle fractionnaire pour un meilleur affichage sur les écrans HIDPI dans Linux

2025-05-09
Comment configurer l'authentification à deux facteurs avec Amazon

Comment configurer l'authentification à deux facteurs avec Amazon

2025-01-11
Trouvez un emploi que vous aimez: Analyse de l'ensemble de données Glassdoor

Trouvez un emploi que vous aimez: Analyse de l'ensemble de données Glassdoor

2025-10-15
8 meilleures applications de codage pour les enfants en 2024

8 meilleures applications de codage pour les enfants en 2024

2024-06-04