RDAT-ransomware

Ransomware blijft een van de meest verstorende bedreigingen voor thuisgebruikers en organisaties. Eén enkele inbraak kan binnen enkele minuten documenten, foto's en bedrijfsgegevens versleutelen en slachtoffers vervolgens afpersen om toegang te krijgen. RDAT Ransomware, een uitloper van de productieve Dharma-familie, illustreert waarom gelaagde verdediging en gedisciplineerde herstelplanning essentieel zijn.

Bedreigingsprofiel: RDAT in één oogopslag

Infosec-onderzoekers identificeerden RDAT tijdens een breed onderzoek naar opkomende malware. Het is een Dharma-variant die speciaal is ontwikkeld voor data-afpersing: het versleutelt bestanden en zet slachtoffers onder druk om te betalen voor decodering. RDAT richt zich op zowel lokale schijven als gedeelde netwerklocaties en omzeilt bewust kritieke systeembestanden, zodat het apparaat opstartbaar blijft en het slachtoffer de losgeldberichten kan lezen.

Wat slachtoffers zien

Zodra RDAT is uitgevoerd, versleutelt het een breed scala aan bestandstypen. Bestandsnamen worden aangepast met een unieke slachtoffer-ID, het e-mailadres van de aanvaller en de extensie '.RDAT', bijvoorbeeld:
1.png wordt 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Er volgen twee losgeldberichten: een pop-upvenster met de melding dat de bestanden versleuteld zijn en een tekstbestand met de naam 'DAT_INFO.txt' met contactinstructies. De operators bieden aan om maximaal drie bestanden te decoderen (afhankelijk van de grootte-/formaatlimieten) als bewijs, terwijl ze waarschuwen dat het gebruik van tools van derden of het wijzigen van versleutelde gegevens tot permanent verlies kan leiden. Deze tactieken zijn bedoeld om geloofwaardigheid en urgentie te creëren, niet om u te helpen.

Hoe RDAT blijft en zich verspreidt

RDAT neemt Dharma's persistentie- en anti-herstelhandboek over. De malware kopieert zichzelf naar %LOCALAPPDATA%, registreert autorun-items via specifieke Run-sleutels en start opnieuw op na een herstart. Om snelle herstelbewerkingen te blokkeren, verwijdert het Volume Shadow Copies. Voordat het versleutelt, beëindigt het processen die bestanden mogelijk openhouden (databases, documentlezers en dergelijke), waardoor maximale dekking wordt gegarandeerd. Het probeert ook te voorkomen dat gegevens die al door andere ransomware zijn getroffen, dubbel worden versleuteld door een bekende lijst te vergelijken, een onvolmaakte veiligheidscheck.

Doelselectie en geofencing

De malware verzamelt geolocatiegegevens om te bepalen of een slachtoffer bereid is te betalen. Als de regio ongunstig lijkt, economisch of om geopolitieke redenen, kan de malware encryptie volledig overslaan. Dit gedrag is puur gericht op het maximaliseren van de opbrengst van losgeld.

Waarom betalen een verliezende weddenschap is

Decryptie na een ransomware-aanval is meestal onmogelijk zonder de sleutels van de aanvallers, tenzij de versie ernstig gebrekkig is. Zelfs dan is betalen riskant: veel slachtoffers ontvangen nooit werkende decryptors. Betaling financiert ook meer aanvallen. De verantwoorde aanpak is om de malware te verwijderen, te herbouwen met betrouwbare back-ups en systemen te beveiligen om herhaling te voorkomen.

Bevestigde leveringskanalen

Inbraken in de Dharma-familie beginnen vaak met een kwetsbaar of zwak beveiligd Remote Desktop Protocol (RDP). Aanvallers maken gebruik van brute-force- en woordenboekaanvallen en kunnen, eenmaal binnen, de firewalls van de host uitschakelen. Naast RDP maakt het ecosysteem gebruik van phishing en social engineering, malvertising, onbetrouwbare softwarebronnen, spambijlagen en loader-/backdoor-trojans. Kwaadaardige payloads worden vaak verzonden als archieven (RAR/ZIP), uitvoerbare bestanden, scripts (inclusief JavaScript) en documenten (PDF, Office, OneNote). Bepaalde families verspreiden zich ook via lokale netwerken en verwisselbare media.

Inperking en herstel

Verwijder de ransomware om verdere versleuteling te voorkomen, maar besef dat verwijdering geen herstel van vergrendelde bestanden mogelijk maakt. Herstel vereist schone, geversioneerde back-ups. De gouden standaard is om kopieën te bewaren op meerdere locaties en mediatypen, inclusief offline opslag die malware niet kan raken.

Veelvoorkomende toegangs- en distributievectoren voor ransomware-bedreigingen zijn onder meer:

• Blootgestelde/zwakke RDP-services, credential stuffing en brute-force-aanmeldingen
• Phishing-e-mails, lokmiddelen voor social engineering, spambijlagen en -links, malvertising, trojan-downloads, drive-by-downloads, illegale software en 'cracks', nep-updaters en loader-/backdoor-infecties; laterale verspreiding via LAN en verwijderbare USB-/opslagapparaten

Conclusie

RDAT Ransomware is een gedisciplineerde, winstgedreven Dharma-variant: het blijft bestaan na herstarts, verwijdert herstelpunten, richt zich op zowel lokale als gedeelde data en gebruikt druktechnieken om betalingen af te dwingen. De meest betrouwbare weg naar veerkracht is proactieve beveiliging plus robuuste, offline back-ups en goed geoefend herstel. Betaal niet; verwijder, herstel en verscherp de verdediging om een volgende poging te voorkomen.