Ransomware RDAT

Il ransomware rimane una delle minacce più pericolose per utenti domestici e aziende. Una singola intrusione può criptare documenti, foto e dati aziendali in pochi minuti, per poi estorcerne l'accesso alle vittime. Il ransomware RDAT, una variante della prolifica famiglia Dharma, illustra perché difese a più livelli e una pianificazione del ripristino disciplinata siano essenziali.

Profilo della minaccia: RDAT in sintesi

I ricercatori di Infosec hanno identificato RDAT durante un'ampia analisi dei malware emergenti. Si tratta di una variante di Dharma appositamente progettata per l'estorsione di dati: crittografa i file e spinge le vittime a pagare per la decrittazione. RDAT prende di mira sia le unità locali che le condivisioni di rete, evitando deliberatamente i file di sistema critici in modo che il dispositivo rimanga avviabile e la vittima possa leggere le richieste di riscatto.

Cosa vedono le vittime

Una volta eseguito, RDAT crittografa un'ampia gamma di tipi di file. I nomi dei file vengono modificati per includere un ID univoco della vittima, l'indirizzo email dell'aggressore e l'estensione '.RDAT', ad esempio:
1.png diventa 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Seguono due richieste di riscatto: una finestra pop-up che informa che i file sono crittografati e un file di testo denominato "DAT_INFO.txt" con le istruzioni per contattarli. Gli operatori offrono di decriptare fino a tre file (soggetto a limiti di dimensione/formato) come prova, avvertendo che l'utilizzo di strumenti di terze parti o la modifica dei dati crittografati potrebbe causare perdite permanenti. Queste tattiche sono progettate per creare credibilità e urgenza, non per aiutarti.

Come si mantiene e si diffonde l’RDAT

RDAT eredita la strategia di persistenza e anti-ripristino di Dharma. Il malware si copia in %LOCALAPPDATA%, registra voci di esecuzione automatica tramite chiavi di esecuzione specifiche e si riavvia dopo il riavvio. Per bloccare i ripristini rapidi, elimina le copie shadow del volume. Prima di crittografare, termina i processi che potrebbero mantenere aperti i file (database, lettori di documenti e simili), garantendo la massima copertura. Tenta inoltre di evitare la "doppia crittografia" dei dati già colpiti da altri ransomware confrontandoli con un elenco noto, un controllo di sicurezza imperfetto.

Selezione del bersaglio e geofencing

Il malware raccoglie dati di geolocalizzazione per valutare la probabilità che la vittima paghi. Se la regione appare sfavorevole, economicamente o per motivi geopolitici, potrebbe ignorare completamente la crittografia. Questo comportamento mira esclusivamente a massimizzare il riscatto.

Perché pagare è una scommessa perdente

La decrittazione dopo un attacco ransomware è solitamente impossibile senza le chiavi degli aggressori, a meno che il ceppo non sia gravemente danneggiato. Anche in questo caso, pagare è rischioso: molte vittime non ricevono mai decifratori funzionanti. Il pagamento finanzia anche ulteriori attacchi. La strada giusta è quella di eradicare il malware, ricostruire il sistema da backup affidabili e rafforzare i sistemi per prevenire il ripetersi dell'incidente.

Canali di consegna confermati

Le intrusioni della famiglia Dharma iniziano spesso con un protocollo RDP (Remote Desktop Protocol) esposto o scarsamente protetto. Gli aggressori si affidano ad attacchi brute-force e a dizionario e, una volta infiltrati, possono disattivare i firewall dell'host. Oltre all'RDP, l'ecosistema sfrutta phishing e ingegneria sociale, malvertising, fonti software inaffidabili, allegati spam e trojan loader/backdoor. I payload dannosi vengono comunemente distribuiti come archivi (RAR/ZIP), eseguibili, script (incluso JavaScript) e documenti (PDF, Office, OneNote). Alcune famiglie si propagano anche attraverso reti locali e supporti rimovibili.

Contenimento e recupero

Eliminare il ransomware per bloccare l'ulteriore crittografia, ma è importante ricordare che la rimozione non ripristina i file bloccati. Il ripristino richiede backup puliti e con più versioni. Il gold standard è conservare copie in più posizioni e su più tipi di supporto, inclusi gli storage offline, che il malware non può toccare.

I vettori comuni di accesso e distribuzione delle minacce ransomware includono:

• Servizi RDP esposti/deboli, credential stuffing e accessi brute-force
• Email di phishing, esche di ingegneria sociale, allegati e link spam, malvertising, download trojanizzati, download drive-by, software pirata e "crack", falsi programmi di aggiornamento e infezioni loader/backdoor; diffusione laterale tramite LAN e dispositivi USB/di archiviazione rimovibili

Conclusione

Il ransomware RDAT è una variante disciplinata e orientata al profitto del Dharma: persiste dopo ogni riavvio, elimina i punti di ripristino, prende di mira sia i dati locali che quelli condivisi e sfrutta tattiche di pressione per estorcere denaro. Il percorso più affidabile verso la resilienza è un rafforzamento proattivo, unito a backup robusti e compatibili con la modalità offline, e a un ripristino ben collaudato. Non pagare; sradica, ripristina e rafforza le difese per prevenire il prossimo tentativo.