RDAT рансъмуер

Рансъмуерът остава една от най-разрушителните заплахи, пред които са изправени домашните потребители и организациите. Едно-единствено проникване може да разбърка документи, снимки и бизнес данни за минути, след което да изнуди жертвите за достъп. RDAT Ransomware, разклонение на плодотворното семейство Dharma, илюстрира защо многопластовата защита и дисциплинираното планиране на възстановяването са от съществено значение.

Профил на заплахата: RDAT с един поглед

Изследователи от Infosec идентифицираха RDAT по време на обширен преглед на нововъзникващ зловреден софтуер. Това е вариант на Dharma, създаден специално за изнудване на данни: той криптира файлове и притиска жертвите да плащат за декриптиране. RDAT е насочен както към локални дискове, така и към мрежови споделяния, като умишлено избягва критични системни файлове, така че устройството да остане стартиращо и жертвата да може да прочете бележките за откуп.

Какво виждат жертвите

След като RDAT се изпълни, той криптира широк набор от типове файлове. Имената на файловете се променят, за да включват уникален идентификатор на жертвата, имейл адреса на нападателя и разширението „.RDAT“, например:
1.png става 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Следват две бележки с искане за откуп: изскачащ прозорец, в който се посочва, че файловете са криптирани, и текстов файл с име „DAT_INFO.txt“ с инструкции за контакт. Операторите предлагат да декриптират до три файла (при спазване на ограниченията за размер/формат) като доказателство, като същевременно предупреждават, че използването на инструменти на трети страни или модифицирането на криптирани данни може да причини трайна загуба. Тези тактики са предназначени да изградят доверие и неотложност, а не да ви помогнат.

Как RDAT се запазва и разпространява

RDAT наследява принципите на постоянство и предотвратяване на възстановяване на Dharma. Зловредният софтуер се копира в %LOCALAPPDATA%, регистрира записи за автоматично стартиране чрез специфични ключове за изпълнение и се рестартира след рестартиране. За да блокира бързото възстановяване, той изтрива скрити копия на тома (Volume Shadow Copies). Преди криптиране, той прекратява процесите, които биха могли да поддържат файловете отворени (бази данни, четци на документи и други подобни), осигурявайки максимално покритие. Също така се опитва да избегне „двойно криптиране“ на данни, вече засегнати от друг рансъмуер, като проверява спрямо известен списък – несъвършена проверка за безопасност.

Избор на цел и геозониране

Зловредният софтуер събира данни за геолокация, за да прецени дали е вероятно жертвата да плати. Ако регионът изглежда неблагоприятен, икономически или по геополитически причини, той може напълно да пропусне криптирането. Това поведение е изцяло с цел максимизиране на доходността от откуп.

Защо плащането е губещ залог

Декриптирането след атака с ransomware обикновено е невъзможно без ключовете на нападателите, освен ако щамът не е сериозно повреден. Дори тогава плащането е рисковано: много жертви никога не получават работещи декриптори. Плащането финансира и още атаки. Отговорният път е да се премахне зловредният софтуер, да се възстанови от надеждни резервни копия и да се защитят системите, за да се предотврати повторен инцидент.

Потвърдени канали за доставка

Проникванията от семейство Дхарма често започват с изложен или слабо защитен протокол за отдалечен работен плот (RDP). Нападателите разчитат на груба сила и речникови атаки и, веднъж влезли, могат да деактивират защитните стени на хоста. Освен RDP, екосистемата използва фишинг и социално инженерство, злонамерена реклама, ненадеждни софтуерни източници, прикачени файлове към спам и троянски коне, които се зареждат/задни вратички. Злонамерените полезни товари обикновено се изпращат като архиви (RAR/ZIP), изпълними файлове, скриптове (включително JavaScript) и документи (PDF, Office, OneNote). Някои семейства се разпространяват и чрез локални мрежи и сменяеми носители.

Ограничаване и възстановяване

Премахнете ransomware-а, за да спрете по-нататъшното криптиране, но имайте предвид, че премахването не възстановява заключените файлове. Възстановяването изисква чисти, версийни резервни копия. Златният стандарт е да се поддържат копия на множество места и типове носители, включително офлайн хранилище, до което зловредният софтуер не може да докосне.

Често срещани вектори за достъп и разпространение на заплахи от ransomware включват:

• Изложени/слаби RDP услуги, въвеждане на идентификационни данни и влизания с груба сила
• Фишинг имейли, примамки за социално инженерство, спам прикачени файлове и връзки, злонамерена реклама, троянски изтегляния, автоматични изтегляния, пиратски софтуер и „кракове“, фалшиви актуализатори и инфекции със зареждащи устройства/задни врати; странично разпространение чрез LAN и сменяеми USB/устройства за съхранение

Долен ред

RDAT Ransomware е дисциплиниран, ориентиран към печалба вариант на Dharma: той продължава да атакува дори след рестартирания, изтрива точки за възстановяване, атакува както локални, така и споделени данни и използва тактики за натиск, за да изтръгне плащане. Най-надеждният път към устойчивост е проактивното втвърдяване плюс стабилни, офлайн резервни копия и добре отработено възстановяване. Не плащайте; премахнете, възстановете и затегнете защитите, за да предотвратите следващия опит.