Ransomware RDAT

El ransomware continua sent una de les amenaces més disruptives a què s'enfronten els usuaris domèstics i les organitzacions. Una sola intrusió pot codificar documents, fotos i dades empresarials en qüestió de minuts i, a continuació, extorquir les víctimes per accedir-hi. El ransomware RDAT, una branca de la prolífica família Dharma, il·lustra per què les defenses per capes i la planificació de recuperació disciplinada són essencials.

Perfil d’amenaces: RDAT d’un cop d’ull

Investigadors d'Infosec van identificar RDAT durant una àmplia revisió de programari maliciós emergent. És una variant de Dharma creada específicament per a l'extorsió de dades: xifra els fitxers i pressiona les víctimes perquè paguin pel desxifrat. RDAT té com a objectiu tant les unitats locals com els recursos compartits de xarxa, evitant deliberadament els fitxers crítics del sistema perquè el dispositiu es mantingui arrencable i la víctima pugui llegir les notes de rescat.

Què veuen les víctimes

Un cop s'executa RDAT, xifra una àmplia gamma de tipus de fitxers. Els noms dels fitxers es modifiquen per incloure un ID de víctima únic, el correu electrònic de l'atacant i l'extensió '.RDAT', per exemple:
1.png esdevé 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

A continuació apareixen dues notes de rescat: una finestra emergent que indica que els fitxers estan xifrats i un fitxer de text anomenat "DAT_INFO.txt" amb instruccions de contacte. Els operadors ofereixen desxifrar fins a tres fitxers (subjectes a límits de mida/format) com a prova, alhora que adverteixen que l'ús d'eines de tercers o la modificació de dades xifrades pot causar pèrdues permanents. Aquestes tàctiques estan dissenyades per generar credibilitat i urgència, no per ajudar-vos.

Com es manté i es propaga l’RDAT

RDAT hereta el manual de persistència i anti-recuperació de Dharma. El programari maliciós es copia a %LOCALAPPDATA%, registra entrades d'execució automàtica mitjançant claus d'execució específiques i es rellança després de reiniciar. Per bloquejar les restauracions ràpides, elimina les còpies d'ombra de volum. Abans de xifrar, finalitza els processos que poden mantenir els fitxers oberts (bases de dades, lectors de documents i similars), garantint la màxima cobertura. També intenta evitar el "doble xifratge" de dades ja afectades per altres ransomware comprovant-ho amb una llista coneguda, una comprovació de seguretat imperfecta.

Selecció d’objectius i geovalles

El programari maliciós recopila dades de geolocalització per avaluar si és probable que una víctima pagui. Si la regió sembla desfavorable, econòmicament o per motius geopolítics, pot ometre completament el xifratge. Aquest comportament té com a objectiu maximitzar el rendiment del rescat.

Per què pagar és una aposta perdedora

El desxifratge després d'un atac de ransomware sol ser impossible sense les claus dels atacants, tret que la tensió sigui greument defectuosa. Fins i tot en aquest cas, pagar és arriscat: moltes víctimes no reben mai desxifradors que funcionin. El pagament també finança més atacs. El camí responsable és eradicar el programari maliciós, reconstruir a partir de còpies de seguretat fiables i enfortir els sistemes per evitar que es repeteixi un incident.

Canals de lliurament confirmats

Les intrusions de la família Dharma sovint comencen amb el Protocol d'escriptori remot (RDP) exposat o amb una protecció feble. Els atacants es basen en atacs de força bruta i de diccionari i, un cop a dins, poden desactivar els tallafocs de l'amfitrió. Més enllà de l'RDP, l'ecosistema aprofita el phishing i l'enginyeria social, la publicitat maliciosa, fonts de programari no fiables, fitxers adjunts de correu brossa i troians de carregador/porta del darrere. Les càrregues útils malicioses s'envien habitualment com a arxius (RAR/ZIP), executables, scripts (inclòs JavaScript) i documents (PDF, Office, OneNote). Algunes famílies també es propaguen a través de xarxes locals i suports extraïbles.

Contenció i recuperació

Elimineu el ransomware per aturar el xifratge posterior, però tingueu en compte que l'eliminació no restaura els fitxers bloquejats. La recuperació requereix còpies de seguretat netes i versionades. L'estàndard d'or és mantenir còpies en diverses ubicacions i tipus de suports, inclòs l'emmagatzematge fora de línia que el programari maliciós no pot tocar.

Els vectors d'accés i distribució comuns per a les amenaces de ransomware inclouen:

• Serveis RDP exposats/febles, farciment de credencials i inicis de sessió per força bruta
• Correus electrònics de phishing, esquers d'enginyeria social, fitxers adjunts i enllaços de correu brossa, publicitat maliciosa, descàrregues troianitzades, descàrregues automàtiques, programari pirata i "cracks", actualitzadors falsos i infeccions de carregador/porta del darrere; propagació lateral a través de LAN i dispositius USB/emmagatzematge extraïbles.

Conclusió

El ransomware RDAT és una variant disciplinada i orientada al benefici de Dharma: persisteix després de reiniciar el sistema, elimina els punts de recuperació, ataca les dades locals i compartides i utilitza tàctiques de pressió per extreure pagaments. El camí més fiable cap a la resiliència és l'enduriment proactiu a més de còpies de seguretat robustes i fora de línia i una recuperació ben assajada. No pagueu; eradiqueu, restaureu i enfortiu les defenses per evitar el següent intent.