Ransomware RDAT

Ransomware zůstává jednou z nejničivějších hrozeb, kterým čelí domácí uživatelé a organizace. Jediný útok dokáže během několika minut zmačkat dokumenty, fotografie a firemní data a poté od obětí vynutit přístup. RDAT Ransomware, odnož plodné rodiny Dharma, ilustruje, proč jsou vrstvená obrana a disciplinované plánování obnovy nezbytné.

Profil hrozby: RDAT v kostce

Výzkumníci z Infosec identifikovali RDAT během rozsáhlého přezkumu nově vznikajícího malwaru. Jedná se o variantu Dharmy, která je určena k vydírání dat: šifruje soubory a tlačí na oběti, aby za dešifrování zaplatily. RDAT cílí jak na lokální disky, tak na síťové sdílené složky a záměrně se vyhýbá kritickým systémovým souborům, aby zařízení zůstalo bootovatelné a oběť si mohla přečíst výkupné.

Co vidí oběti

Jakmile se RDAT spustí, zašifruje širokou škálu typů souborů. Názvy souborů se změní tak, aby obsahovaly jedinečné ID oběti, e-mail útočníka a příponu „.RDAT“, například:
Soubor 1.png se změní na 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Následují dva vzkazy s žádostí o výkupné: vyskakovací okno s informací, že soubory jsou zašifrované, a textový soubor s názvem „DAT_INFO.txt“ s kontaktními pokyny. Operátoři nabízejí „dešifrování až tří souborů (v závislosti na omezení velikosti/formátu)“ jako důkaz a zároveň varují, že použití nástrojů třetích stran nebo úprava zašifrovaných dat může způsobit trvalou ztrátu. Tyto taktiky jsou navrženy tak, aby budovaly důvěryhodnost a naléhavost, nikoli aby vám pomohly.

Jak RDAT přetrvává a šíří se

RDAT zdědil systém Dharmy pro perzistenci a ochranu před obnovou. Malware se zkopíruje do %LOCALAPPDATA%, zaregistruje položky automatického spouštění pomocí specifických klíčů Spuštění a po restartu se znovu spustí. Aby blokoval rychlé obnovení, odstraní stínové kopie svazků. Před šifrováním ukončí procesy, které by mohly udržovat soubory otevřené (databáze, čtečky dokumentů a podobně), čímž zajistí maximální pokrytí. Také se snaží zabránit „dvojitému šifrování“ dat již zasažených jiným ransomwarem, a to kontrolou proti známému seznamu, což je nedokonalá bezpečnostní kontrola.

Výběr cíle a geofencing

Malware shromažďuje geolokační data, aby zjistil, zda je pravděpodobné, že oběť zaplatí. Pokud se region jeví jako nepříznivý, ať už z ekonomických nebo geopolitických důvodů, může šifrování zcela přeskočit. Toto chování je čistě zaměřeno na maximalizaci výnosu z výkupného.

Proč je placení prohrávající sázkou

Dešifrování po útoku ransomwaru je obvykle nemožné bez klíčů útočníků, pokud se nejedná o vážně poškozený kmen. I v tomto případě je placení riskantní: mnoho obětí nikdy neobdrží funkční dešifrovací programy. Platba také financuje další útoky. Zodpovědnou cestou je vymýcení malwaru, obnovení systému z důvěryhodných záloh a posílení systémů, aby se zabránilo opakování incidentu.

Potvrzené doručovací kanály

Útoky z rodiny Dharma často začínají odhaleným nebo slabě chráněným protokolem RDP (Remote Desktop Protocol). Útočníci se spoléhají na útoky hrubou silou a slovníkovými útoky a po proniknutí mohou deaktivovat firewally hostitele. Kromě RDP ekosystém využívá phishing a sociální inženýrství, malware, nedůvěryhodné softwarové zdroje, spamové přílohy a trojské koně typu loader/backdoor. Škodlivé datové soubory se běžně odesílají jako archivy (RAR/ZIP), spustitelné soubory, skripty (včetně JavaScriptu) a dokumenty (PDF, Office, OneNote). Některé rodiny se také šíří prostřednictvím lokálních sítí a vyměnitelných médií.

Zadržování a zotavení

Odstraňte ransomware, abyste zastavili další šifrování, ale mějte na paměti, že jeho odstranění neobnoví uzamčené soubory. Obnova vyžaduje čisté zálohy s verzemi. Zlatým standardem je uchovávat kopie na více místech a typech médií, včetně offline úložiště, ke kterému se malware nedostane.

Mezi běžné vektory přístupu a distribuce ransomwarových hrozeb patří:

• Odhalené/slabé služby RDP, vyplňování přihlašovacích údajů a přihlašování hrubou silou
• Phishingové e-maily, lákadla sociálního inženýrství, spamové přílohy a odkazy, malware, stahování s trojskými koni, drive-by stahování, pirátský software a „cracky“, falešné aktualizační programy a infekce zavaděči/zadními vrátky; laterální šíření přes LAN a vyměnitelná USB/úložná zařízení

Sečteno a podtrženo

RDAT Ransomware je disciplinovaná, ziskuchtivá varianta Dharmy: přetrvává i po restartu, maže body obnovy, cílí na lokální i sdílená data a využívá nátlakové taktiky k vynucení plateb. Nejspolehlivější cestou k odolnosti je proaktivní posílení zabezpečení plus robustní zálohy s možností offline provozu a dobře nacvičená obnova. Neplaťte; vymažte, obnovte a posílte obranu, abyste zabránili dalšímu pokusu.