RDAT Ransomware

Ransomware-i mbetet një nga kërcënimet më shkatërruese me të cilat përballen përdoruesit shtëpiakë dhe organizatat. Një ndërhyrje e vetme mund të përziejë dokumente, foto dhe të dhëna biznesi brenda pak minutash, dhe më pas t'u kërkojë viktimave akses. RDAT Ransomware, një degë e familjes së frytshme Dharma, ilustron pse mbrojtjet e shtresuara dhe planifikimi i disiplinuar i rimëkëmbjes janë thelbësore.

Profili i Kërcënimit: RDAT në një vështrim

Studiuesit e Infosec identifikuan RDAT gjatë një shqyrtimi të gjerë të programeve keqdashëse në zhvillim. Është një variant i Dharma-s i krijuar posaçërisht për zhvatje të dhënash: ai enkripton skedarët dhe i detyron viktimat të paguajnë për dekriptim. RDAT synon si disqet lokale ashtu edhe ndarjet e rrjetit, duke shmangur qëllimisht skedarët kritikë të sistemit në mënyrë që pajisja të mbetet e nisshme dhe viktima të mund të lexojë shënimet e shpërblimit.

Çfarë shohin viktimat

Pasi RDAT ekzekutohet, ai enkripton një gamë të gjerë llojesh skedarësh. Emrat e skedarëve ndryshohen për të përfshirë një ID unike të viktimës, email-in e sulmuesit dhe prapashtesën '.RDAT', për shembull:
1.png bëhet 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Dy shënime për shpërblim pasojnë: një dritare që shfaqet duke deklaruar se skedarët janë të enkriptuar dhe një skedar teksti me emrin 'DAT_INFO.txt' me udhëzime kontakti. Operatorët ofrojnë 'të dekriptojnë deri në tre skedarë (në varësi të kufizimeve të madhësisë/formatit) si provë, ndërsa paralajmërojnë se përdorimi i mjeteve të palëve të treta ose modifikimi i të dhënave të enkriptuara mund të shkaktojë humbje të përhershme. Këto taktika janë të dizajnuara për të ndërtuar besueshmëri dhe urgjencë, jo për t'ju ndihmuar.

Si qëndron dhe përhapet RDAT

RDAT trashëgon manualin e këmbënguljes dhe anti-rikuperimit të Dharma-s. Malware kopjon veten në %LOCALAPPDATA%, regjistron hyrjet e ekzekutimit automatik nëpërmjet çelësave specifikë të ekzekutimit dhe riniset pas rinisjes. Për të bllokuar rikthimet e shpejta, ai fshin Kopjet e Hijes së Volume-it. Përpara enkriptimit, ai ndërpret proceset që mund t'i mbajnë skedarët të hapur (bazat e të dhënave, lexuesit e dokumenteve dhe të ngjashme), duke siguruar mbulim maksimal. Ai gjithashtu përpiqet të shmangë 'enkriptimin e dyfishtë' të të dhënave që janë goditur tashmë nga ransomware të tjerë duke kontrolluar kundrejt një liste të njohur, një kontroll sigurie jo i përsosur.

Përzgjedhja e objektivit dhe gjeofencimi

Malware mbledh të dhëna për gjeolokacionin për të vlerësuar nëse një viktimë ka të ngjarë të paguajë. Nëse rajoni duket i pafavorshëm, ekonomikisht ose për arsye gjeopolitike, ai mund ta anashkalojë tërësisht enkriptimin. Kjo sjellje ka të bëjë thjesht me maksimizimin e rendimentit të shpërblimit.

Pse pagesa është një bast i humbur

Dekriptimi pas një sulmi me ransomware është zakonisht i pamundur pa çelësat e sulmuesve, përveç nëse lloji i sulmit ka të meta të rënda. Edhe atëherë, pagesa është e rrezikshme: shumë viktima nuk marrin kurrë dekriptues funksionalë. Pagesa gjithashtu financon më shumë sulme. Rruga e përgjegjshme është zhdukja e malware-it, rindërtimi nga kopje rezervë të besueshme dhe forcimi i sistemeve për të parandaluar një incident të përsëritur.

Kanalet e konfirmuara të dorëzimit

Ndërhyrjet e familjes Dharma shpesh fillojnë me Protokollin e Desktopit të Largët (RDP) të ekspozuar ose të mbrojtur dobët. Sulmuesit mbështeten në sulme me forcë brutale dhe fjalorë dhe, pasi të hyjnë brenda, mund të çaktivizojnë firewall-et e strehuesit. Përtej RDP-së, ekosistemi shfrytëzon phishing dhe inxhinierinë sociale, reklamat keqdashëse, burimet e softuerëve të pabesueshëm, bashkëngjitjet e spamit dhe trojanë ngarkues/backdoor. Ngarkesat keqdashëse zakonisht dërgohen si arkiva (RAR/ZIP), ekzekutues, skripte (përfshirë JavaScript) dhe dokumente (PDF, Office, OneNote). Disa familje përhapen gjithashtu përmes rrjeteve lokale dhe mediave të lëvizshme.

Përmbajtja dhe Rimëkëmbja

Eliminoni ransomware-in për të ndaluar enkriptimin e mëtejshëm, por kuptoni që heqja nuk i rikthen skedarët e bllokuar. Rimëkëmbja kërkon kopje rezervë të pastra dhe të versionuara. Standardi i artë është të ruani kopjet në vende dhe lloje të shumta mediash, duke përfshirë edhe ruajtjen jashtë linje që programet keqdashëse nuk mund ta prekin.

Vektorët e zakonshëm të aksesit dhe shpërndarjes për kërcënimet me ransomware përfshijnë:

• Shërbime RDP të ekspozuara/të dobëta, mbushje me kredenciale dhe hyrje me forcë brutale
• Email-e phishing, joshje të inxhinierisë sociale, bashkëngjitje dhe lidhje spam, reklama keqdashëse, shkarkime të trojanizuara, shkarkime nga makina, softuerë dhe 'krisje' të piratuara, përditësues të rremë dhe infeksione nga ngarkues/backdoor; përhapje anësore nëpërmjet rrjetit lokal dhe pajisjeve të lëvizshme USB/ruajtjeje.

Në fund të fundit

RDAT Ransomware është një variant i disiplinuar dhe i orientuar drejt fitimit i Dharmës: ai vazhdon gjatë rinisjeve, fshin pikat e rikuperimit, synon të dhënat lokale dhe të përbashkëta dhe i përdor si armë taktikat e presionit për të nxjerrë pagesa. Rruga më e besueshme drejt qëndrueshmërisë është forcimi proaktiv plus kopje rezervë të fuqishme dhe të afta për punë jashtë linje dhe rikuperimi i mirëpërgatitur. Mos paguani; zhdukni, rivendosni dhe shtrëngoni mbrojtjet për të parandaluar përpjekjen tjetër.