Oprogramowanie ransomware RDAT

Ransomware pozostaje jednym z najpoważniejszych zagrożeń, z jakimi borykają się użytkownicy domowi i organizacje. Pojedyncze włamanie może w ciągu kilku minut zaszyfrować dokumenty, zdjęcia i dane firmowe, a następnie wymusić na ofiarach dostęp do nich. RDAT Ransomware, odgałęzienie popularnej rodziny Dharma, pokazuje, dlaczego wielowarstwowe zabezpieczenia i zdyscyplinowane planowanie odzyskiwania danych są niezbędne.

Profil zagrożenia: RDAT w skrócie

Badacze ds. bezpieczeństwa informacji zidentyfikowali RDAT podczas szeroko zakrojonego przeglądu pojawiającego się złośliwego oprogramowania. Jest to wariant Dharmy, stworzony specjalnie do wyłudzania danych: szyfruje pliki i wymusza na ofiarach zapłatę za ich odszyfrowanie. RDAT atakuje zarówno dyski lokalne, jak i udziały sieciowe, celowo pomijając krytyczne pliki systemowe, aby urządzenie pozostało bootowalne, a ofiara mogła odczytać żądanie okupu.

Co widzą ofiary

Po uruchomieniu RDAT szyfruje szeroką gamę typów plików. Nazwy plików są modyfikowane tak, aby zawierały unikalny identyfikator ofiary, adres e-mail atakującego oraz rozszerzenie „.RDAT”, na przykład:
Plik 1.png zmienia się na 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Następnie pojawiają się dwa komunikaty o okupie: wyskakujące okienko informujące, że pliki są zaszyfrowane, oraz plik tekstowy o nazwie „DAT_INFO.txt” z instrukcjami kontaktowymi. Operatorzy oferują odszyfrowanie do trzech plików (z zastrzeżeniem ograniczeń rozmiaru/formatu) jako dowód, ostrzegając jednocześnie, że korzystanie z narzędzi innych firm lub modyfikowanie zaszyfrowanych danych może spowodować ich trwałą utratę. Takie taktyki mają na celu zbudowanie wiarygodności i poczucia pilności, a nie pomoc.

Jak RDAT utrzymuje się i rozprzestrzenia

RDAT dziedziczy metodykę trwałości i ochrony przed odzyskiwaniem danych Dharmy. Szkodliwe oprogramowanie kopiuje się do %LOCALAPPDATA%, rejestruje wpisy autostartu za pomocą określonych kluczy Run i uruchamia się ponownie po restarcie. Aby zablokować szybkie przywracanie, usuwa kopie woluminów w tle. Przed zaszyfrowaniem zamyka procesy, które mogłyby utrzymywać pliki otwarte (bazy danych, czytniki dokumentów itp.), zapewniając maksymalny zasięg. Stara się również unikać „podwójnego szyfrowania” danych, które zostały już zaatakowane przez inne programy ransomware, porównując je ze znaną listą, co stanowi niedoskonałą kontrolę bezpieczeństwa.

Wybór celu i geofencing

Szkodliwe oprogramowanie gromadzi dane geolokalizacyjne, aby ocenić prawdopodobieństwo zapłaty przez ofiarę. Jeśli region wydaje się niekorzystny, gospodarczo lub geopolitycznie, może całkowicie pominąć szyfrowanie. Takie zachowanie ma na celu wyłącznie maksymalizację zysku z okupu.

Dlaczego płacenie jest przegranym zakładem

Odszyfrowanie po ataku ransomware jest zazwyczaj niemożliwe bez kluczy atakujących, chyba że obciążenie jest poważnie uszkodzone. Nawet wtedy zapłata jest ryzykowna: wiele ofiar nigdy nie otrzymuje działających deszyfratorów. Płatność finansuje również kolejne ataki. Odpowiedzialnym rozwiązaniem jest wyeliminowanie złośliwego oprogramowania, odbudowanie go z wiarygodnych kopii zapasowych i wzmocnienie systemów, aby zapobiec powtórzeniu się incydentu.

Potwierdzone kanały dostawy

Włamania z rodziny Dharma często zaczynają się od ujawnionego lub słabo zabezpieczonego protokołu RDP (Remote Desktop Protocol). Atakujący wykorzystują ataki siłowe i słownikowe, a po ataku mogą wyłączyć zapory sieciowe hosta. Poza RDP, ekosystem wykorzystuje phishing i socjotechnikę, złośliwe reklamy, niewiarygodne źródła oprogramowania, załączniki spamu oraz trojany loader/backdoor. Złośliwe pakiety są zazwyczaj przesyłane w postaci archiwów (RAR/ZIP), plików wykonywalnych, skryptów (w tym JavaScript) i dokumentów (PDF, Office, OneNote). Niektóre rodziny rozprzestrzeniają się również za pośrednictwem sieci lokalnych i nośników wymiennych.

Powstrzymanie i odzyskiwanie

Wyeliminuj ransomware, aby zatrzymać dalsze szyfrowanie, ale pamiętaj, że usunięcie nie przywróci zablokowanych plików. Odzyskiwanie danych wymaga czystych, wersjonowanych kopii zapasowych. Złotym standardem jest przechowywanie kopii w wielu lokalizacjach i na wielu nośnikach, w tym w pamięci masowej offline, której złośliwe oprogramowanie nie może otworzyć.

Do typowych wektorów dostępu i dystrybucji zagrożeń typu ransomware należą:

• Odsłonięte/słabe usługi RDP, wypełnianie poświadczeń i siłowe próby logowania
• E-maile phishingowe, przynęty socjotechniczne, załączniki i linki spamowe, złośliwe reklamy, pobieranie trojanów, pobieranie plików bez wiedzy użytkownika, pirackie oprogramowanie i „cracki”, fałszywe programy aktualizujące oraz infekcje typu loader/backdoor; rozprzestrzenianie się boczne za pośrednictwem sieci LAN i wymiennych urządzeń USB/pamięci masowej

Podsumowanie

RDAT Ransomware to zdyscyplinowana, nastawiona na zysk odmiana Dharmy: utrzymuje się po restarcie, usuwa punkty odzyskiwania, atakuje zarówno dane lokalne, jak i współdzielone oraz stosuje taktyki nacisku w celu wymuszenia zapłaty. Najpewniejszą drogą do odporności jest proaktywne wzmacnianie zabezpieczeń, solidne kopie zapasowe działające w trybie offline oraz przećwiczone odzyskiwanie danych. Nie płać; wyeliminuj, przywróć i wzmocnij zabezpieczenia, aby zapobiec kolejnej próbie.