RDAT Ransomware

Το ransomware παραμένει μια από τις πιο ανατρεπτικές απειλές που αντιμετωπίζουν οι οικιακοί χρήστες και οργανισμοί. Μία μόνο εισβολή μπορεί να ανακατέψει έγγραφα, φωτογραφίες και επιχειρηματικά δεδομένα μέσα σε λίγα λεπτά και στη συνέχεια να εκβιάσει τα θύματα για πρόσβαση. Το RDAT Ransomware, ένα παρακλάδι της παραγωγικής οικογένειας Dharma, καταδεικνύει γιατί οι πολυεπίπεδες άμυνες και ο πειθαρχημένος σχεδιασμός αποκατάστασης είναι απαραίτητοι.

Προφίλ απειλών: RDAT με μια ματιά

Οι ερευνητές της Infosec εντόπισαν το RDAT κατά τη διάρκεια μιας ευρείας ανασκόπησης του αναδυόμενου κακόβουλου λογισμικού. Πρόκειται για μια παραλλαγή του Dharma που έχει σχεδιαστεί ειδικά για την εκβίαση δεδομένων: κρυπτογραφεί αρχεία και πιέζει τα θύματα να πληρώσουν για την αποκρυπτογράφηση. Το RDAT στοχεύει τόσο τις τοπικές μονάδες δίσκου όσο και τα κοινόχρηστα στοιχεία δικτύου, αποφεύγοντας σκόπιμα κρίσιμα αρχεία συστήματος, ώστε η συσκευή να παραμένει εκκινήσιμη και το θύμα να μπορεί να διαβάσει τις σημειώσεις λύτρων.

Τι βλέπουν τα θύματα

Μόλις εκτελεστεί το RDAT, κρυπτογραφεί ένα ευρύ φάσμα τύπων αρχείων. Τα ονόματα αρχείων τροποποιούνται ώστε να περιλαμβάνουν ένα μοναδικό αναγνωριστικό θύματος, το email του εισβολέα και την επέκταση '.RDAT', για παράδειγμα:
Το 1.png γίνεται 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Ακολουθούν δύο σημειώσεις για λύτρα: ένα αναδυόμενο παράθυρο που δηλώνει ότι τα αρχεία είναι κρυπτογραφημένα και ένα αρχείο κειμένου με το όνομα 'DAT_INFO.txt' με οδηγίες επικοινωνίας. Οι χειριστές προσφέρουν «να αποκρυπτογραφήσουν έως και τρία αρχεία (υπόκεινται σε όρια μεγέθους/μορφής) ως απόδειξη, ενώ προειδοποιούν ότι η χρήση εργαλείων τρίτων ή η τροποποίηση κρυπτογραφημένων δεδομένων μπορεί να προκαλέσει μόνιμη απώλεια. Αυτές οι τακτικές έχουν σχεδιαστεί για να οικοδομήσουν αξιοπιστία και επείγουσα ανάγκη, όχι για να σας βοηθήσουν.

Πώς παραμένει και εξαπλώνεται το RDAT

Το RDAT κληρονομεί το εγχειρίδιο προστασίας από ιούς (persistence) και την προστασία από την ανάκτηση (anti-recovery) του Dharma. Το κακόβουλο λογισμικό αντιγράφει τον εαυτό του στο %LOCALAPPDATA%, καταγράφει καταχωρήσεις αυτόματης εκτέλεσης μέσω συγκεκριμένων κλειδιών εκτέλεσης (Run) και επανεκκινείται μετά την επανεκκίνηση. Για να μπλοκάρει τις γρήγορες επαναφορές, διαγράφει τα Volume Shadow Copies (Σκιώδη Αντίγραφα Τόμου). Πριν από την κρυπτογράφηση, τερματίζει διεργασίες που ενδέχεται να διατηρούν ανοιχτά αρχεία (βάσεις δεδομένων, συσκευές ανάγνωσης εγγράφων και παρόμοια), εξασφαλίζοντας μέγιστη κάλυψη. Επίσης, προσπαθεί να αποφύγει τη «διπλή κρυπτογράφηση» δεδομένων που έχουν ήδη πληγεί από άλλο ransomware, ελέγχοντας με βάση μια γνωστή λίστα, έναν ατελή έλεγχο ασφαλείας.

Επιλογή στόχου και γεωφράκτης

Το κακόβουλο λογισμικό συλλέγει δεδομένα γεωγραφικής τοποθεσίας για να εκτιμήσει εάν ένα θύμα είναι πιθανό να πληρώσει. Εάν η περιοχή φαίνεται δυσμενής, οικονομικά ή για γεωπολιτικούς λόγους, μπορεί να παραλείψει εντελώς την κρυπτογράφηση. Αυτή η συμπεριφορά αφορά αποκλειστικά τη μεγιστοποίηση της απόδοσης των λύτρων.

Γιατί η πληρωμή είναι ένα χαμένο στοίχημα

Η αποκρυπτογράφηση μετά από μια επίθεση ransomware είναι συνήθως αδύνατη χωρίς τα κλειδιά των εισβολέων, εκτός εάν το στέλεχος είναι σοβαρά ελαττωματικό. Ακόμα και τότε, η πληρωμή είναι επικίνδυνη: πολλά θύματα δεν λαμβάνουν ποτέ λειτουργικά αποκρυπτογραφικά εργαλεία. Η πληρωμή χρηματοδοτεί επίσης περισσότερες επιθέσεις. Η υπεύθυνη οδός είναι η εξάλειψη του κακόβουλου λογισμικού, η ανακατασκευή από αξιόπιστα αντίγραφα ασφαλείας και η ενίσχυση των συστημάτων για την αποφυγή επαναλαμβανόμενου περιστατικού.

Επιβεβαιωμένα κανάλια παράδοσης

Οι εισβολές της οικογένειας Dharma ξεκινούν συχνά με εκτεθειμένο ή ασθενώς προστατευμένο Πρωτόκολλο Απομακρυσμένης Επιφάνειας Εργασίας (RDP). Οι εισβολείς βασίζονται σε επιθέσεις ωμής βίας και λεξικού και, μόλις εισέλθουν, ενδέχεται να απενεργοποιήσουν τα τείχη προστασίας του κεντρικού υπολογιστή. Πέρα από το RDP, το οικοσύστημα αξιοποιεί το ηλεκτρονικό ψάρεμα (phishing) και την κοινωνική μηχανική, την κακόβουλη διαφήμιση, τις μη αξιόπιστες πηγές λογισμικού, τα συνημμένα ανεπιθύμητης αλληλογραφίας και τα trojan loader/backdoor. Τα κακόβουλα ωφέλιμα φορτία αποστέλλονται συνήθως ως αρχεία (RAR/ZIP), εκτελέσιμα αρχεία, σενάρια (συμπεριλαμβανομένης της JavaScript) και έγγραφα (PDF, Office, OneNote). Ορισμένες οικογένειες διαδίδονται επίσης μέσω τοπικών δικτύων και αφαιρούμενων μέσων.

Περιορισμός και Ανάκτηση

Εξαλείψτε το ransomware για να σταματήσετε την περαιτέρω κρυπτογράφηση, αλλά κατανοήστε ότι η αφαίρεση δεν επαναφέρει τα κλειδωμένα αρχεία. Η ανάκτηση απαιτεί καθαρά, αντίγραφα ασφαλείας με αντίγραφα ασφαλείας με αντίγραφα ασφαλείας. Το χρυσό πρότυπο είναι η διατήρηση αντιγράφων σε πολλαπλές τοποθεσίες και τύπους μέσων, συμπεριλαμβανομένου του χώρου αποθήκευσης εκτός σύνδεσης που δεν μπορεί να αγγίξει το κακόβουλο λογισμικό.

Συνήθεις φορείς πρόσβασης και διανομής για απειλές ransomware περιλαμβάνουν:

• Εκτεθειμένες/αδύναμες υπηρεσίες RDP, παραμόρφωση με διαπιστευτήρια και συνδέσεις με βίαιη δύναμη
• Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing), δολώματα κοινωνικής μηχανικής, συνημμένα και σύνδεσμοι ανεπιθύμητης αλληλογραφίας (spam), κακόβουλη διαφήμιση, λήψεις με trojan, λήψεις από drive-by, πειρατικό λογισμικό και "cracks", ψεύτικα προγράμματα ενημέρωσης και μολύνσεις από loader/backdoor· πλευρική εξάπλωση μέσω LAN και αφαιρούμενων συσκευών USB/αποθήκευσης.

Συμπέρασμα

Το RDAT Ransomware είναι μια πειθαρχημένη, κερδοσκοπική παραλλαγή του Dharma: επιμένει σε όλες τις επανεκκινήσεις, διαγράφει σημεία ανάκτησης, στοχεύει τόσο τοπικά όσο και κοινόχρηστα δεδομένα και χρησιμοποιεί τακτικές πίεσης για την απόσπαση πληρωμών. Η πιο αξιόπιστη οδός για ανθεκτικότητα είναι η προληπτική ενίσχυση, καθώς και τα ισχυρά, μη συνδεδεμένα αντίγραφα ασφαλείας και η καλά δοκιμασμένη ανάκτηση. Μην πληρώνετε. Εξαλείψτε, επαναφέρετε και ενισχύστε τις άμυνες για να αποτρέψετε την επόμενη απόπειρα.