Izsiljevalska programska oprema RDAT

Izsiljevalska programska oprema ostaja ena najbolj motečih groženj, s katerimi se soočajo domači uporabniki in organizacije. En sam vdor lahko v nekaj minutah uniči dokumente, fotografije in poslovne podatke, nato pa žrtvam izsili dostop. Izsiljevalska programska oprema RDAT, veja plodne družine Dharma, ponazarja, zakaj sta večplastna obramba in disciplinirano načrtovanje obnovitve bistveni.

Profil grožnje: RDAT na kratko

Raziskovalci Infosec so RDAT odkrili med obsežnim pregledom nove zlonamerne programske opreme. Gre za različico Dharme, namensko zasnovano za izsiljevanje podatkov: šifrira datoteke in pritiska na žrtve, da plačajo za dešifriranje. RDAT cilja tako na lokalne pogone kot na omrežne datoteke, pri čemer se namerno izogiba kritičnim sistemskim datotekam, da naprava ostane zagonska in da žrtev lahko prebere zahtevek za odkupnino.

Kaj vidijo žrtve

Ko se RDAT izvede, šifrira širok nabor vrst datotek. Imena datotek se spremenijo tako, da vključujejo enolični ID žrtve, e-poštni naslov napadalca in končnico '.RDAT', na primer:
1.png postane 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Sledita dve obvestili o odkupnini: pojavno okno z navedbo, da so datoteke šifrirane, in besedilna datoteka z imenom »DAT_INFO.txt« z navodili za stik. Operaterji ponudijo »dešifriranje do treh datotek (odvisno od omejitev velikosti/formata) kot dokaz, hkrati pa opozarjajo, da lahko uporaba orodij tretjih oseb ali spreminjanje šifriranih podatkov povzroči trajno izgubo. Te taktike so zasnovane za gradnjo verodostojnosti in nujnosti, ne pa za pomoč.

Kako RDAT ostane in se širi

RDAT podeduje Dharmin sistem za obstojnost in preprečevanje okrevanja. Zlonamerna programska oprema se kopira v %LOCALAPPDATA%, registrira vnose samodejnega zagona prek določenih ključev za zagon in se po ponovnem zagonu znova zažene. Da bi blokirala hitre obnovitve, izbriše senčne kopije nosilca podatkov. Pred šifriranjem zaključi procese, ki bi lahko pustili datoteke odprte (baze podatkov, bralnike dokumentov in podobno), s čimer zagotovi maksimalno pokritost. Prav tako se poskuša izogniti »dvojnemu šifriranju« podatkov, ki jih je že prizadela druga izsiljevalska programska oprema, tako da preverja podatke na znanem seznamu, kar je nepopolno varnostno preverjanje.

Izbira cilja in geofencing

Zlonamerna programska oprema zbira podatke o geolokaciji, da bi ocenila, ali je verjetno, da bo žrtev plačala. Če se regija zdi neugodna, zaradi gospodarskega ali geopolitičnega vidika, lahko šifriranje v celoti preskoči. To vedenje je zgolj namenjeno maksimiranju izkupička.

Zakaj je plačilo izgubljena stava

Dešifriranje po napadu izsiljevalske programske opreme je običajno nemogoče brez ključev napadalcev, razen če je sev resno napačen. Tudi takrat je plačevanje tvegano: številne žrtve nikoli ne prejmejo delujočih dešifrirjev. Plačilo financira tudi nadaljnje napade. Odgovorna pot je izkoreninjenje zlonamerne programske opreme, obnova iz zanesljivih varnostnih kopij in utrjevanje sistemov, da se prepreči ponovitev incidenta.

Potrjeni kanali dostave

Vdori družine Dharma se pogosto začnejo z izpostavljenim ali šibko zaščitenim protokolom za oddaljeno namizje (RDP). Napadalci se zanašajo na napade s surovo silo in slovarske napade ter lahko, ko so enkrat vstopili, onemogočijo požarne zidove gostiteljev. Poleg RDP ekosistem izkorišča tudi lažno predstavljanje in socialni inženiring, zlonamerno oglaševanje, nezanesljive vire programske opreme, priloge neželene pošte in trojanske konje za nalaganje/zadnja vrata. Zlonamerni koristni tovor se običajno pošilja kot arhivi (RAR/ZIP), izvedljive datoteke, skripti (vključno z JavaScriptom) in dokumenti (PDF, Office, OneNote). Nekatere družine se širijo tudi prek lokalnih omrežij in odstranljivih medijev.

Zadrževanje in okrevanje

Odstranite izsiljevalsko programsko opremo, da ustavite nadaljnje šifriranje, vendar vedite, da odstranitev ne obnovi zaklenjenih datotek. Obnovitev zahteva čiste varnostne kopije z različicami. Zlati standard je vzdrževanje kopij na več lokacijah in vrstah medijev, vključno s shranjevanjem brez povezave, do katerega zlonamerna programska oprema ne more dostopati.

Med pogostejše vektorje dostopa in distribucije groženj izsiljevalske programske opreme spadajo:

• Izpostavljene/šibke storitve RDP, polnjenje poverilnic in prijave z grobo silo
• Lažno predstavljanje e-pošte, vabe za socialni inženiring, priloge in povezave z neželeno pošto, zlonamerno oglaševanje, prenosi s trojanci, prenosi mimo sistema, piratska programska oprema in »razpoke«, lažni programi za posodabljanje in okužbe z nalagalniki/zadnjimi vrati; lateralno širjenje prek lokalnega omrežja (LAN) in odstranljivih USB/pomnilniških naprav

Bistvo

Izsiljevalska programska oprema RDAT je disciplinirana, dobičkonosno usmerjena različica Dharme: vztraja tudi po ponovnih zagonih, briše obnovitvene točke, cilja tako na lokalne kot deljene podatke ter uporablja taktike pritiska za izsiljevanje plačila. Najbolj zanesljiva pot do odpornosti je proaktivno utrjevanje ter robustne varnostne kopije, ki omogočajo delo brez povezave, in dobro preizkušeno obnovitev. Ne plačujte; izkoreninite, obnovite in okrepite obrambo, da preprečite naslednji poskus.