باج‌افزار RDAT

باج‌افزار همچنان یکی از مخرب‌ترین تهدیدات پیش روی کاربران خانگی و سازمان‌ها است. یک نفوذ می‌تواند اسناد، عکس‌ها و داده‌های تجاری را در عرض چند دقیقه به هم بریزد و سپس از قربانیان برای دسترسی به آنها اخاذی کند. باج‌افزار RDAT، شاخه‌ای از خانواده‌ی قدرتمند Dharma، نشان می‌دهد که چرا دفاع لایه‌ای و برنامه‌ریزی منظم برای بازیابی اطلاعات ضروری است.

مشخصات تهدید: RDAT در یک نگاه

محققان Infosec طی بررسی گسترده‌ای از بدافزارهای نوظهور، RDAT را شناسایی کردند. این بدافزار از نوع Dharma است و برای اخاذی داده‌ها ساخته شده است: فایل‌ها را رمزگذاری می‌کند و قربانیان را مجبور به پرداخت هزینه برای رمزگشایی می‌کند. RDAT هم درایوهای محلی و هم اشتراک‌های شبکه را هدف قرار می‌دهد و عمداً از فایل‌های سیستمی حیاتی اجتناب می‌کند تا دستگاه قابل بوت باقی بماند و قربانی بتواند یادداشت‌های باج‌خواهی را بخواند.

آنچه قربانیان می‌بینند

پس از اجرا، RDAT طیف گسترده‌ای از انواع فایل‌ها را رمزگذاری می‌کند. نام فایل‌ها تغییر داده می‌شود تا شامل یک شناسه قربانی منحصر به فرد، ایمیل مهاجم و پسوند '.RDAT' باشد، به عنوان مثال:
‎1.png تبدیل می‌شود به ‎1.png.id-9ECFA84E.[dat@mailum.com].RDAT‎

دو یادداشت باج‌خواهی در ادامه آمده است: یک پنجره پاپ‌آپ که می‌گوید فایل‌ها رمزگذاری شده‌اند و یک فایل متنی به نام «DAT_INFO.txt» با دستورالعمل‌های تماس. اپراتورها پیشنهاد می‌دهند که حداکثر سه فایل (با توجه به محدودیت‌های اندازه/فرمت) را به عنوان مدرک رمزگشایی کنند، در حالی که هشدار می‌دهند استفاده از ابزارهای شخص ثالث یا تغییر داده‌های رمزگذاری شده ممکن است باعث از دست رفتن دائمی اطلاعات شود. این تاکتیک‌ها برای ایجاد اعتبار و فوریت طراحی شده‌اند، نه برای کمک به شما.

چگونه RDAT باقی می‌ماند و پخش می‌شود؟

RDAT از پایداری و دستورالعمل‌های ضد بازیابی Dharma بهره می‌برد. این بدافزار خود را در %LOCALAPPDATA% کپی می‌کند، ورودی‌های autorun را از طریق کلیدهای Run خاص ثبت می‌کند و پس از راه‌اندازی مجدد، مجدداً راه‌اندازی می‌شود. برای مسدود کردن بازیابی‌های سریع، Volume Shadow Copyها را حذف می‌کند. قبل از رمزگذاری، فرآیندهایی را که ممکن است فایل‌ها را باز نگه دارند (پایگاه‌های داده، برنامه‌های خواندن سند و موارد مشابه) خاتمه می‌دهد و حداکثر پوشش را تضمین می‌کند. همچنین با بررسی داده‌های آلوده شده توسط سایر باج‌افزارها، که یک بررسی ایمنی ناقص است، سعی می‌کند از «رمزگذاری مضاعف» داده‌هایی که قبلاً توسط سایر باج‌افزارها مورد حمله قرار گرفته‌اند، جلوگیری کند.

انتخاب هدف و تعیین محدوده جغرافیایی

این بدافزار داده‌های موقعیت جغرافیایی را جمع‌آوری می‌کند تا احتمال پرداخت باج توسط قربانی را بسنجد. اگر منطقه، چه از نظر اقتصادی و چه به دلایل ژئوپلیتیکی، نامساعد به نظر برسد، ممکن است رمزگذاری را به طور کامل نادیده بگیرد. این رفتار صرفاً برای به حداکثر رساندن بازده باج است.

چرا پرداخت کردن شرط باخت است؟

رمزگشایی پس از حمله باج‌افزار معمولاً بدون کلیدهای مهاجمان غیرممکن است، مگر اینکه کلید به شدت آسیب‌پذیر باشد. حتی در آن صورت، پرداخت هزینه ریسک دارد: بسیاری از قربانیان هرگز رمزگشایی‌های کارآمد دریافت نمی‌کنند. پرداخت هزینه همچنین حملات بیشتری را تأمین مالی می‌کند. مسیر مسئولانه، ریشه‌کن کردن بدافزار، بازسازی از طریق پشتیبان‌های قابل اعتماد و مقاوم‌سازی سیستم‌ها برای جلوگیری از تکرار حادثه است.

کانال‌های تحویل تأیید شده

نفوذهای خانواده دارما اغلب با پروتکل ریموت دسکتاپ (RDP) که در معرض خطر یا دارای محافظت ضعیف است، آغاز می‌شوند. مهاجمان به حملات جستجوی فراگیر و دیکشنری متکی هستند و پس از ورود، ممکن است فایروال‌های میزبان را غیرفعال کنند. فراتر از RDP، این اکوسیستم از فیشینگ و مهندسی اجتماعی، تبلیغات مخرب، منابع نرم‌افزاری غیرقابل اعتماد، پیوست‌های هرزنامه و تروجان‌های لودر/درب پشتی استفاده می‌کند. بارهای مخرب معمولاً به صورت بایگانی (RAR/ZIP)، فایل‌های اجرایی، اسکریپت‌ها (از جمله جاوا اسکریپت) و اسناد (PDF، آفیس، وان‌نوت) ارسال می‌شوند. برخی از خانواده‌ها همچنین از طریق شبکه‌های محلی و رسانه‌های قابل حمل نیز پخش می‌شوند.

مهار و بازیابی

برای جلوگیری از رمزگذاری بیشتر، باج‌افزار را حذف کنید، اما توجه داشته باشید که حذف، فایل‌های قفل‌شده را بازیابی نمی‌کند. بازیابی نیاز به پشتیبان‌گیری‌های تمیز و نسخه‌بندی‌شده دارد. استاندارد طلایی، نگهداری کپی‌ها در مکان‌ها و انواع مختلف رسانه، از جمله ذخیره‌سازی آفلاین است که بدافزارها نمی‌توانند به آن دسترسی پیدا کنند.

مسیرهای دسترسی و توزیع رایج برای تهدیدات باج‌افزاری عبارتند از:

• سرویس‌های RDP در معرض/ضعیف، پر کردن اعتبارنامه‌ها و ورودهای brute-force
• ایمیل‌های فیشینگ، ترفندهای مهندسی اجتماعی، پیوست‌ها و لینک‌های اسپم، تبلیغات مخرب، دانلودهای تروجان‌دار، دانلودهای ناخواسته، نرم‌افزارهای غیرقانونی و «کرک‌ها»، به‌روزرسانی‌های جعلی و آلودگی‌های لودر/درب پشتی؛ گسترش جانبی از طریق LAN و دستگاه‌های ذخیره‌سازی/USB قابل جابجایی

نکته‌ی اصلی

باج‌افزار RDAT نوعی از Dharma است که به صورت منظم و با هدف سودآوری فعالیت می‌کند: در طول راه‌اندازی مجدد سیستم‌ها باقی می‌ماند، نقاط بازیابی را حذف می‌کند، داده‌های محلی و مشترک را هدف قرار می‌دهد و از تاکتیک‌های فشار برای دریافت وجه استفاده می‌کند. قابل اعتمادترین مسیر برای مقاومت، مقاوم‌سازی پیشگیرانه به همراه پشتیبان‌گیری قوی و آفلاین و بازیابی تمرین‌شده است. باج ندهید؛ ریشه‌کن کنید، بازیابی کنید و دفاع‌ها را برای جلوگیری از تلاش بعدی تقویت کنید.