Ransomware RDAT

O ransomware continua sendo uma das ameaças mais disruptivas enfrentadas por usuários domésticos e organizações. Uma única intrusão pode criptografar documentos, fotos e dados corporativos em minutos e, em seguida, extorquir acesso das vítimas. O RDAT Ransomware, um desdobramento da prolífica família Dharma, ilustra por que defesas em camadas e um planejamento de recuperação disciplinado são essenciais.

Perfil de ameaça: RDAT em resumo

Pesquisadores de segurança da informação identificaram o RDAT durante uma ampla análise de malware emergente. Trata-se de uma variante do Dharma, desenvolvida especificamente para extorsão de dados: criptografa arquivos e pressiona as vítimas a pagar pela descriptografia. O RDAT tem como alvo unidades locais e compartilhamentos de rede, evitando deliberadamente arquivos críticos do sistema para que o dispositivo permaneça inicializável e a vítima possa ler as notas de resgate.

O que as vítimas veem

Após a execução, o RDAT criptografa uma ampla gama de tipos de arquivos. Os nomes dos arquivos são alterados para incluir um ID exclusivo da vítima, o e-mail do invasor e a extensão ".RDAT", por exemplo:
1.png se torna 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Seguem-se duas notas de resgate: uma janela pop-up informando que os arquivos estão criptografados e um arquivo de texto chamado "DAT_INFO.txt" com instruções de contato. Os operadores se oferecem para descriptografar até três arquivos (sujeito a limites de tamanho/formato) como prova, mas alertam que o uso de ferramentas de terceiros ou a modificação de dados criptografados pode causar perdas permanentes. Essas táticas visam gerar credibilidade e urgência, não ajudar você.

Como o RDAT permanece e se espalha

O RDAT herda a persistência e o manual antirrecuperação do Dharma. O malware se copia para %LOCALAPPDATA%, registra entradas de execução automática por meio de teclas de execução específicas e reinicia após a reinicialização. Para bloquear restaurações rápidas, ele exclui Cópias de Sombra de Volume. Antes de criptografar, ele encerra processos que podem manter os arquivos abertos (bancos de dados, leitores de documentos e similares), garantindo a máxima cobertura. Ele também tenta evitar a "criptografia dupla" de dados já afetados por outro ransomware, verificando-os em uma lista conhecida, uma verificação de segurança imperfeita.

Seleção de alvos e geofencing

O malware coleta dados de geolocalização para avaliar a probabilidade de a vítima pagar. Se a região parecer desfavorável, economicamente ou por razões geopolíticas, ele pode ignorar completamente a criptografia. Esse comportamento visa apenas maximizar o rendimento do resgate.

Por que pagar é uma aposta perdedora

A descriptografia após um ataque de ransomware geralmente é impossível sem as chaves dos invasores, a menos que a variante apresente falhas graves. Mesmo assim, pagar é arriscado: muitas vítimas nunca recebem descriptografadores funcionais. O pagamento também financia mais ataques. O caminho responsável é erradicar o malware, reconstruir a partir de backups confiáveis e fortalecer os sistemas para evitar a repetição do incidente.

Canais de entrega confirmados

Invasões da família Dharma frequentemente começam com o Protocolo de Área de Trabalho Remota (RDP) exposto ou com proteção fraca. Os invasores utilizam ataques de força bruta e de dicionário e, uma vez dentro, podem desabilitar firewalls do host. Além do RDP, o ecossistema utiliza phishing e engenharia social, malvertising, fontes de software não confiáveis, anexos de spam e trojans loader/backdoor. Cargas maliciosas são comumente enviadas como arquivos compactados (RAR/ZIP), executáveis, scripts (incluindo JavaScript) e documentos (PDF, Office, OneNote). Certas famílias também se propagam por redes locais e mídias removíveis.

Contenção e Recuperação

Elimine o ransomware para interromper a criptografia, mas entenda que a remoção não restaura os arquivos bloqueados. A recuperação requer backups limpos e versionados. O padrão ouro é manter cópias em vários locais e tipos de mídia, incluindo armazenamento offline que o malware não consiga acessar.

Vetores comuns de acesso e distribuição para ameaças de ransomware incluem:

• Serviços RDP expostos/fracos, preenchimento de credenciais e logins de força bruta
• E-mails de phishing, iscas de engenharia social, anexos e links de spam, malvertising, downloads trojanizados, downloads drive-by, software pirateado e 'cracks', atualizadores falsos e infecções de carregador/backdoor; disseminação lateral via LAN e dispositivos USB/armazenamento removíveis

Conclusão

O RDAT Ransomware é uma variante disciplinada e voltada para o lucro do Dharma: ele persiste após reinicializações, exclui pontos de recuperação, tem como alvo dados locais e compartilhados e utiliza táticas de pressão para extrair pagamento. O caminho mais confiável para a resiliência é o reforço proativo, além de backups robustos com capacidade offline e recuperação bem ensaiada. Não pague; erradique, restaure e fortaleça as defesas para evitar a próxima tentativa.