Ransomvér RDAT

Ransomvér zostáva jednou z najničivejších hrozieb, ktorým čelia domáci používatelia a organizácie. Jediný útok dokáže v priebehu niekoľkých minút pokaziť dokumenty, fotografie a obchodné údaje a potom od obetí vynútiť prístup. Ransomvér RDAT, odnož plodnej rodiny Dharma, ilustruje, prečo sú viacvrstvové obranné mechanizmy a disciplinované plánovanie obnovy nevyhnutné.

Profil hrozby: RDAT v skratke

Výskumníci z Infosec identifikovali RDAT počas rozsiahleho preskúmania nového malvéru. Ide o variant Dharmy, ktorý je určený na vydieranie údajov: šifruje súbory a núti obete, aby zaplatili za dešifrovanie. RDAT sa zameriava na lokálne disky aj sieťové zdieľania a zámerne sa vyhýba kritickým systémovým súborom, aby zariadenie zostalo bootovateľné a obeť si mohla prečítať výkupné.

Čo vidia obete

Po spustení RDAT šifruje širokú škálu typov súborov. Názvy súborov sa menia tak, aby obsahovali jedinečné ID obete, e-mail útočníka a príponu „.RDAT“, napríklad:
Súbor 1.png sa zmení na 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Nasledujú dva výkupné listy: vyskakovacie okno s informáciou, že súbory sú šifrované, a textový súbor s názvom „DAT_INFO.txt“ s kontaktnými pokynmi. Operátori ponúkajú „dešifrovanie až troch súborov (v závislosti od obmedzení veľkosti/formátu) ako dôkaz“ a zároveň varujú, že použitie nástrojov tretích strán alebo úprava šifrovaných údajov môže spôsobiť trvalú stratu. Tieto taktiky sú navrhnuté tak, aby budovali dôveryhodnosť a naliehavosť, nie aby vám pomohli.

Ako RDAT pretrváva a šíri sa

RDAT zdedil systém Dharmy pre perzistenciu a ochranu pred obnovením. Malvér sa skopíruje do %LOCALAPPDATA%, zaregistruje položky automatického spustenia pomocou špecifických kľúčov Spustenia a po reštarte sa reštartuje. Aby blokoval rýchle obnovenie, odstráni tieňové kópie zväzku. Pred šifrovaním ukončí procesy, ktoré by mohli udržiavať súbory otvorené (databázy, čítačky dokumentov a podobne), čím zabezpečí maximálne pokrytie. Taktiež sa snaží vyhnúť „dvojitému šifrovaniu“ údajov, ktoré už boli zasiahnuté iným ransomvérom, a to kontrolou oproti známemu zoznamu, čo je nedokonalá bezpečnostná kontrola.

Výber cieľa a geofencing

Malvér zhromažďuje údaje o geolokácii, aby zistil, či je pravdepodobné, že obeť zaplatí. Ak sa región javí ako nepriaznivý, ekonomicky alebo z geopolitických dôvodov, môže šifrovanie úplne preskočiť. Toto správanie je čisto o maximalizácii výnosu z výkupného.

Prečo je platenie prehrávajúcou stávkou

Dešifrovanie po útoku ransomvéru je zvyčajne nemožné bez kľúčov útočníkov, pokiaľ kmeň nie je vážne poškodený. Aj vtedy je platenie riskantné: mnohé obete nikdy nedostanú funkčné dešifrovacie programy. Platba tiež financuje ďalšie útoky. Zodpovednou cestou je odstránenie malvéru, obnovenie systému z dôveryhodných záloh a zabezpečenie systémov, aby sa predišlo opakovaniu incidentu.

Potvrdené doručovacie kanály

Prienikmi do rodiny Dharma sa často začína odhalený alebo slabo chránený protokol RDP (Remote Desktop Protocol). Útočníci sa spoliehajú na útoky hrubou silou a slovníkové útoky a po vstupe do siete môžu deaktivovať firewally hostiteľa. Okrem RDP ekosystém využíva phishing a sociálne inžinierstvo, malwaretising, nedôveryhodné softvérové zdroje, spamové prílohy a trójske kone typu loader/backdoor. Škodlivé dáta sa bežne odosielajú ako archívy (RAR/ZIP), spustiteľné súbory, skripty (vrátane JavaScriptu) a dokumenty (PDF, Office, OneNote). Niektoré rodiny sa šíria aj prostredníctvom lokálnych sietí a vymeniteľných médií.

Zadržanie a zotavenie

Odstráňte ransomvér, aby ste zastavili ďalšie šifrovanie, ale uvedomte si, že jeho odstránenie neobnoví uzamknuté súbory. Obnova vyžaduje čisté zálohy s verziami. Zlatým štandardom je uchovávať kópie na viacerých miestach a typoch médií vrátane offline úložiska, ku ktorému sa malvér nedostane.

Medzi bežné vektory prístupu a distribúcie hrozieb ransomvéru patria:

• Odhalené/slabé služby RDP, vypĺňanie poverení a prihlasovanie hrubou silou
• Phishingové e-maily, lákadlá sociálneho inžinierstva, spamové prílohy a odkazy, škodlivá reklama, sťahovanie trójskych koní, automatické sťahovanie, pirátsky softvér a „cracky“, falošné aktualizačné programy a infekcie zavádzačmi/zadnými vrátkami; laterálne šírenie cez LAN a vymeniteľné USB/úložné zariadenia

Zrátané a podčiarknuté

RDAT Ransomware je disciplinovaný, ziskom zameraný variant Dharmy: pretrváva aj po reštartovaní, maže body obnovy, zameriava sa na lokálne aj zdieľané dáta a využíva nátlakové taktiky na vynútenie platby. Najspoľahlivejšou cestou k odolnosti je proaktívne posilňovanie systému plus robustné zálohy s podporou offline a dobre nacvičená obnova. Neplaťte; zničte, obnovte a sprísnite obranu, aby ste zabránili ďalšiemu pokusu.