RDAT-kiristysohjelma

Kiristysohjelmat ovat edelleen yksi kotikäyttäjiä ja organisaatioita kohtaavista suurimmista uhkista. Yksittäinen tunkeutuminen voi sekoittaa asiakirjoja, valokuvia ja yritystietoja minuuteissa ja kiristää uhreilta pääsyn niihin. RDAT-kiristysohjelmat, tuotteliaan Dharma-perheen haara, havainnollistavat, miksi kerrostetut puolustusjärjestelmät ja kurinalainen toipumissuunnittelu ovat olennaisia.

Uhkaprofiili: RDAT yhdellä silmäyksellä

Tietoturvatutkijat tunnistivat RDAT-haittaohjelman laajan uusien haittaohjelmien tarkastelun aikana. Se on Dharma-variantti, joka on suunniteltu erityisesti tietojen kiristämiseen: se salaa tiedostoja ja painostaa uhreja maksamaan salauksen purkamisesta. RDAT kohdistaa toimintansa sekä paikallisiin asemiin että verkkojakoihin ja välttää tarkoituksella kriittisiä järjestelmätiedostoja, jotta laite pysyy käynnistyskelpoisena ja uhri voi lukea lunnasvaatimukset.

Mitä uhrit näkevät

Kun RDAT suoritetaan, se salaa laajan valikoiman tiedostotyyppejä. Tiedostonimet muutetaan sisältämään yksilöllinen uhrin tunnus, hyökkääjän sähköpostiosoite ja .RDAT-tiedostopääte, esimerkiksi:
1.png-tiedostosta tulee muotoa 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Seuraavaksi tulee kaksi lunnasvaatimusta: ponnahdusikkuna, jossa ilmoitetaan tiedostojen olevan salattuja, ja tekstitiedosto nimeltä 'DAT_INFO.txt', jossa on yhteystiedot. Operaattorit tarjoavat todisteeksi jopa kolmen tiedoston salauksen purkamista (koko-/muotorajoitusten mukaisesti) ja varoittavat, että kolmannen osapuolen työkalujen käyttö tai salattujen tietojen muokkaaminen voi aiheuttaa pysyvää menetystä. Nämä taktiikat on suunniteltu uskottavuuden ja kiireellisyyden lisäämiseksi, eivät auttamaan sinua.

Miten RDAT pysyy ja leviää

RDAT perii Dharman pysyvyys- ja palautumisenestokäsikirjan. Haittaohjelma kopioi itsensä kansioon %LOCALAPPDATA%, rekisteröi automaattisen käynnistyksen merkinnät tiettyjen suoritusavainten avulla ja käynnistyy uudelleen uudelleenkäynnistyksen jälkeen. Estääkseen nopeat palautukset se poistaa varjokopiot. Ennen salaamista se lopettaa prosessit, jotka saattavat pitää tiedostoja auki (tietokannat, asiakirjalukijat ja vastaavat), varmistaen maksimaalisen suojan. Se pyrkii myös välttämään muiden kiristysohjelmien jo uhrien tietojen "kaksoissalausta" tarkistamalla ne tunnettua listaa vasten, mikä on epätäydellinen turvatarkistus.

Kohteen valinta ja geoaitaus

Haittaohjelma kerää geolokaatiotietoja arvioidakseen, onko uhri todennäköisesti valmis maksamaan. Jos alue vaikuttaa epäsuotuisalta taloudellisesti tai geopoliittisista syistä, se saattaa ohittaa salauksen kokonaan. Tällä toiminnalla pyritään maksimoimaan lunnasvaatimusten määrä.

Miksi maksaminen on häviävä veto

Salauksen purkaminen kiristysohjelmahyökkäyksen jälkeen on yleensä mahdotonta ilman hyökkääjien avaimia, ellei tiedostossa ole vakavia virheitä. Silloinkin maksaminen on riskialtista: monet uhrit eivät koskaan saa toimivia salauksen purkajia. Maksaminen rahoittaa myös lisää hyökkäyksiä. Vastuullinen tapa on poistaa haittaohjelma, rakentaa se uudelleen luotettavista varmuuskopioista ja vahvistaa järjestelmiä toistumisen estämiseksi.

Vahvistetut toimituskanavat

Dharma-perheen tunkeutumiset alkavat usein paljastuneesta tai heikosti suojatusta RDP-protokollasta (Remote Desktop Protocol). Hyökkääjät käyttävät raa'an voiman ja sanakirjahyökkäyksiä ja voivat sisään päästyään poistaa palomuurit käytöstä. RDP:n lisäksi ekosysteemi hyödyntää tietojenkalastelua ja sosiaalista manipulointia, haitallista mainostamista, epäluotettavia ohjelmistolähteitä, roskapostiliitteitä ja lataus-/takaovitroijalaisia. Haitalliset hyötykuormat lähetetään yleensä arkistoina (RAR/ZIP), suoritettavina tiedostoina, komentosarjoina (mukaan lukien JavaScript) ja dokumentteina (PDF, Office, OneNote). Tietyt suojausperheet leviävät myös paikallisverkkojen ja irrotettavien tietovälineiden kautta.

Suojautuminen ja toipuminen

Poista kiristysohjelma estääksesi salauksen jatkumisen, mutta ymmärrä, että poistaminen ei palauta lukittuja tiedostoja. Palauttaminen edellyttää puhtaita, versioituja varmuuskopioita. Kultainen standardi on säilyttää kopioita useissa eri paikoissa ja mediatyypeissä, mukaan lukien offline-tallennustila, johon haittaohjelmat eivät pääse käsiksi.

Yleisiä kiristyshaittaohjelmien käyttö- ja levitysvektoreita ovat:

• Vahingossa olevat/heikot RDP-palvelut, tunnistetietojen täyttö ja raa'alla voimalla tehdyt kirjautumiset
• Tietojenkalastelusähköpostit, sosiaalisen manipuloinnin houkutushyökkäykset, roskapostiliitteet ja -linkit, haittaohjelmamainonta, troijalaiset lataukset, drive-by-lataukset, piraattiohjelmistot ja "crackit", väärennetyt päivitysohjelmat ja lataus-/takaporttitartunnat; sivusuunnassa leviäminen lähiverkon ja irrotettavien USB-/tallennuslaitteiden kautta

Lopputulos

RDAT-kiristysohjelma on kurinalainen ja voittoa tavoitteleva Dharma-variantti: se säilyy uudelleenkäynnistysten jälkeen, poistaa palautuspisteitä, kohdistaa hyökkäyksensä sekä paikalliseen että jaettuun dataan ja käyttää aseena painostustaktiikoita maksujen saamiseksi. Luotettavin tie sietokyvyn parantamiseen on ennakoiva koventaminen sekä vankat, offline-yhteensopivat varmuuskopiot ja hyvin harjoiteltu palautus. Älä maksa; hävitä, palauta ja tiukenna puolustusta estääksesi seuraavan yrityksen.