Ransomware RDAT

Ransomware-ul rămâne una dintre cele mai disruptive amenințări cu care se confruntă utilizatorii casnici și organizațiile. O singură intruziune poate bruia documente, fotografii și date de afaceri în câteva minute, apoi poate extorca victimele pentru acces. RDAT Ransomware, o ramură a prolificei familii Dharma, ilustrează de ce sunt esențiale apărările stratificate și planificarea disciplinată a recuperării.

Profilul amenințărilor: RDAT pe scurt

Cercetătorii Infosec au identificat RDAT în timpul unei analize ample a programelor malware emergente. Este o variantă Dharma special concepută pentru extorcarea de date: criptează fișierele și presează victimele să plătească pentru decriptare. RDAT vizează atât unitățile locale, cât și partajările de rețea, evitând în mod deliberat fișierele critice de sistem, astfel încât dispozitivul să rămână bootabil, iar victima să poată citi notele de răscumpărare.

Ce văd victimele

Odată ce RDAT se execută, acesta criptează o gamă largă de tipuri de fișiere. Numele fișierelor sunt modificate pentru a include un ID unic al victimei, adresa de e-mail a atacatorului și extensia „.RDAT”, de exemplu:
1.png devine 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Urmează două note de răscumpărare: o fereastră pop-up care afirmă că fișierele sunt criptate și un fișier text numit „DAT_INFO.txt” cu instrucțiuni de contact. Operatorii se oferă să decripteze până la trei fișiere (în limitele de dimensiune/format) ca dovadă, avertizând în același timp că utilizarea instrumentelor terțe sau modificarea datelor criptate poate cauza pierderi permanente. Aceste tactici sunt concepute pentru a construi credibilitate și urgență, nu pentru a vă ajuta.

Cum rămâne și se răspândește RDAT

RDAT moștenește strategia de persistență și anti-recuperare a Dharmei. Malware-ul se copiază în %LOCALAPPDATA%, înregistrează intrări de autorun prin intermediul unor chei Run specifice și se relansează după repornire. Pentru a bloca restaurările rapide, șterge copiile din umbră ale volumului. Înainte de criptare, termină procesele care ar putea menține fișierele deschise (baze de date, cititoare de documente și altele asemenea), asigurând o acoperire maximă. De asemenea, încearcă să evite „criptarea dublă” a datelor deja afectate de alte programe ransomware, verificând-o cu o listă cunoscută, o verificare de siguranță imperfectă.

Selectarea țintelor și geofencing-ul

Malware-ul colectează date de geolocalizare pentru a evalua dacă este probabil ca o victimă să plătească. Dacă regiunea pare nefavorabilă, din motive economice sau geopolitice, acesta poate sări complet peste criptare. Acest comportament are ca scop exclusiv maximizarea randamentului răscumpărării.

De ce plata este un pariu pierzător

Decriptarea după un atac ransomware este de obicei imposibilă fără cheile atacatorilor, cu excepția cazului în care tensiunea este grav defectă. Chiar și în acest caz, plata este riscantă: multe victime nu primesc niciodată decriptori funcționali. Plata finanțează, de asemenea, mai multe atacuri. Calea responsabilă este eradicarea malware-ului, reconstrucția din copii de rezervă de încredere și consolidarea sistemelor pentru a preveni repetarea incidentului.

Canale de livrare confirmate

Intruziunile familiei Dharma încep frecvent cu Remote Desktop Protocol (RDP) expus sau slab protejat. Atacatorii se bazează pe atacuri de tip forță brută și dicționar și, odată intrați, pot dezactiva firewall-urile gazdă. Dincolo de RDP, ecosistemul valorifică phishing-ul și ingineria socială, publicitatea malicioasă, sursele de software nedemne de încredere, atașamentele spam și troienii de tip loader/backdoor. Sarcinile utile rău intenționate sunt de obicei livrate ca arhive (RAR/ZIP), executabile, scripturi (inclusiv JavaScript) și documente (PDF, Office, OneNote). Anumite familii se propagă și prin rețele locale și suporturi media amovibile.

Izolare și Recuperare

Eliminați ransomware-ul pentru a opri criptarea ulterioară, dar rețineți că eliminarea nu restaurează fișierele blocate. Recuperarea necesită copii de rezervă curate și versionate. Standardul de aur este păstrarea copiilor în mai multe locații și tipuri de suporturi media, inclusiv stocarea offline pe care malware-ul nu o poate atinge.

Vectorii comuni de acces și distribuție pentru amenințările ransomware includ:

• Servicii RDP expuse/slabe, umplerea credențialelor și autentificări prin forță brută
• E-mailuri de tip phishing, momeli de inginerie socială, atașamente și linkuri spam, publicitate malicioasă, descărcări troiene, descărcări drive-by, software piratat și „crack-uri”, programe de actualizare false și infecții de tip loader/backdoor; răspândire laterală prin LAN și dispozitive USB/de stocare amovibile

Concluzie

Ransomware-ul RDAT este o variantă Dharma disciplinată, axată pe profit: persistă după reporniri, șterge punctele de recuperare, vizează atât datele locale, cât și cele partajate și folosește tactici de presiune pentru a obține plăți. Cea mai fiabilă cale către reziliență este consolidarea proactivă, plus copii de rezervă robuste, capabile să funcționeze offline, și o recuperare bine exersată. Nu plătiți; eradicați, restaurați și consolidați apărarea pentru a preveni următoarea încercare.