RDAT ransomware
Ransomware ostaje jedna od najrazornijih prijetnji s kojima se suočavaju kućni korisnici i organizacije. Jedan jedini upad može uništiti dokumente, fotografije i poslovne podatke u nekoliko minuta, a zatim iznuditi pristup žrtvama. RDAT Ransomware, ogranak plodne Dharma obitelji, ilustrira zašto su slojevita obrana i disciplinirano planiranje oporavka ključni.
Sadržaj
Profil prijetnje: RDAT na prvi pogled
Istraživači Infoseca identificirali su RDAT tijekom opsežnog pregleda novog zlonamjernog softvera. Riječ je o Dharma varijanti stvorenoj za iznudu podataka: šifrira datoteke i prisiljava žrtve da plate za dešifriranje. RDAT cilja i lokalne diskove i mrežne resurse, namjerno izbjegavajući kritične sistemske datoteke kako bi uređaj ostao pokretački i žrtva mogla pročitati bilješke o otkupnini.
Što žrtve vide
Nakon što se RDAT izvrši, šifrira širok raspon vrsta datoteka. Nazivi datoteka mijenjaju se kako bi uključivali jedinstveni ID žrtve, e-poštu napadača i ekstenziju '.RDAT', na primjer:
1.png postaje 1.png.id-9ECFA84E.[dat@mailum.com].RDAT
Slijede dvije poruke s zahtjevom za otkupninu: skočni prozor s navodom da su datoteke šifrirane i tekstualna datoteka pod nazivom 'DAT_INFO.txt' s uputama za kontakt. Operateri nude dešifriranje do tri datoteke (ovisno o ograničenjima veličine/formata) kao dokaz, uz upozorenje da korištenje alata trećih strana ili mijenjanje šifriranih podataka može uzrokovati trajni gubitak. Ove taktike osmišljene su za izgradnju kredibiliteta i hitnosti, a ne da vam pomognu.
Kako RDAT ostaje i širi se
RDAT nasljeđuje Dharmin sustav za upornost i sprječavanje oporavka. Zlonamjerni softver se kopira u %LOCALAPPDATA%, registrira unose za automatsko pokretanje putem određenih ključeva za pokretanje i ponovno se pokreće nakon ponovnog pokretanja. Kako bi blokirao brzo vraćanje, briše kopije sjene volumena. Prije šifriranja, prekida procese koji bi mogli držati datoteke otvorenima (baze podataka, čitači dokumenata i slično), osiguravajući maksimalnu pokrivenost. Također pokušava izbjeći 'dvostruko šifriranje' podataka koje je već pogodio drugi ransomware provjeravajući ih u odnosu na poznati popis, što je nesavršena sigurnosna provjera.
Odabir cilja i geofencing
Zlonamjerni softver prikuplja podatke o geolokaciji kako bi procijenio hoće li žrtva vjerojatno platiti. Ako se regija čini nepovoljnom, ekonomski ili iz geopolitičkih razloga, može u potpunosti preskočiti enkripciju. Ovo ponašanje je isključivo usmjereno na maksimiziranje prinosa od otkupnine.
Zašto je plaćanje gubitnička oklada
Dešifriranje nakon napada ransomwarea obično je nemoguće bez ključeva napadača, osim ako je sistem ozbiljno oštećen. Čak i tada, plaćanje je rizično: mnoge žrtve nikada ne dobiju funkcionalne dekriptore. Plaćanje također financira daljnje napade. Odgovoran put je iskorjenjivanje zlonamjernog softvera, obnova iz pouzdanih sigurnosnih kopija i jačanje sustava kako bi se spriječilo ponavljanje incidenta.
Potvrđeni kanali isporuke
Upadi u Dharma obitelj često počinju s izloženim ili slabo zaštićenim Remote Desktop Protocolom (RDP). Napadači se oslanjaju na napade grubom silom i rječničkim napadima i, jednom kada uđu, mogu onemogućiti vatrozidove hosta. Osim RDP-a, ekosustav koristi phishing i društveni inženjering, zlonamjerno oglašavanje, nepouzdane izvore softvera, privitke neželjene pošte i trojance za učitavanje/stražnja vrata. Zlonamjerni korisni sadržaji obično se šalju kao arhive (RAR/ZIP), izvršne datoteke, skripte (uključujući JavaScript) i dokumenti (PDF, Office, OneNote). Određene obitelji također se šire putem lokalnih mreža i prijenosnih medija.
Zadržavanje i oporavak
Uklonite ransomware kako biste zaustavili daljnje šifriranje, ali imajte na umu da uklanjanje ne vraća zaključane datoteke. Oporavak zahtijeva čiste, verzijske sigurnosne kopije. Zlatni standard je održavanje kopija na više lokacija i vrsta medija, uključujući izvanmrežnu pohranu kojoj zlonamjerni softver ne može pristupiti.
Uobičajeni vektori pristupa i distribucije za ransomware prijetnje uključuju:
- Izložene/slabe RDP usluge, popunjavanje vjerodajnica i prijave metodom grube sile
- E-poruke za krađu identiteta, mamci za društveni inženjering, privitci i poveznice za neželjenu poštu, zlonamjerno oglašavanje, trojanska preuzimanja, drive-by preuzimanja, piratski softver i 'crackovi', lažni programi za ažuriranje i infekcije učitavanjem/stražnjim vratima; lateralno širenje putem LAN-a i prijenosnih USB/uređaja za pohranu
Zaključak
RDAT Ransomware je disciplinirana, profitom vođena Dharma varijanta: traje i nakon ponovnog pokretanja sustava, briše točke oporavka, cilja i lokalne i dijeljene podatke te koristi taktike pritiska kao oružje za iznuđivanje plaćanja. Najpouzdaniji put do otpornosti je proaktivno jačanje plus robusne, offline sigurnosne kopije i dobro uvježban oporavak. Nemojte plaćati; iskorijenite, vratite i pojačajte obranu kako biste spriječili sljedeći pokušaj.
Poruke
Pronađene su sljedeće poruke povezane s RDAT ransomware:
All your files have been encrypted! |
Ransom note presented as a text file: |
