RDAT ransomware

Рансомвер остаје једна од најопаснијих претњи са којима се суочавају кућни корисници и организације. Један упад може да уништи документе, фотографије и пословне податке за неколико минута, а затим да изнуди приступ жртвама. RDAT Рансомвер, огранак плодне породице Dharma, илуструје зашто су слојевита одбрана и дисциплиновано планирање опоравка неопходни.

Профил претње: RDAT на први поглед

Истраживачи Инфосека су идентификовали RDAT током опсежног прегледа новог малвера. То је варијанта Дхарме намењена за изнуду података: шифрује датотеке и врши притисак на жртве да плате за дешифровање. RDAT циља и локалне дискове и мрежне дељене ресурсе, намерно избегавајући критичне системске датотеке како би уређај остао покретачки и жртва могла да прочита поруке о откупнини.

Шта жртве виде

Када се RDAT изврши, он шифрује широк спектар типова датотека. Имена датотека се мењају тако да укључују јединствени ИД жртве, имејл адресу нападача и екстензију „.RDAT“, на пример:
1.png постаје 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Следе две поруке са захтевом за откуп: искачући прозор у којем се наводи да су датотеке шифроване и текстуална датотека под називом „DAT_INFO.txt“ са упутствима за контакт. Оператори нуде да дешифрују до три датотеке (у зависности од ограничења величине/формата) као доказ, уз упозорење да коришћење алата трећих страна или модификовање шифрованих података може проузроковати трајни губитак. Ове тактике су осмишљене да изграде кредибилитет и хитност, а не да вам помогну.

Како РДАТ остаје и шири се

RDAT наслеђује Dharma-ин систем за истрајност и спречавање опоравка. Злонамерни софтвер се копира у %LOCALAPPDATA%, региструје уносе за аутоматско покретање путем одређених кључева за покретање и поново се покреће након поновног покретања. Да би блокирао брзо враћање система, брише копије сенчења јачине звука (VOLUME Shadow Copies). Пре шифровања, прекида процесе који би могли да држе датотеке отвореним (базе података, читачи докумената и слично), осигуравајући максималну покривеност. Такође покушава да избегне „двоструко шифровање“ података које је већ погодио други ransomware провером у односу на познату листу, што је несавршена безбедносна провера.

Избор циља и геофенсинг

Злонамерни софтвер прикупља податке о геолокацији како би проценио да ли је вероватно да ће жртва платити. Ако регион делује неповољно, економски или из геополитичких разлога, може потпуно прескочити шифровање. Ово понашање је искључиво усмерено на максимизирање приноса откупнине.

Зашто је плаћање губитничка опклада

Дешифровање након напада ransomware-ом је обично немогуће без кључева нападача, осим ако је сам вирус озбиљно оштећен. Чак и тада, плаћање је ризично: многе жртве никада не добију функционалне дешифраторе. Плаћање такође финансира нове нападе. Одговоран пут је искорењивање злонамерног софтвера, обнова система из поузданих резервних копија и ојачавање система како би се спречио понављање инцидента.

Потврђени канали испоруке

Упади у породицу Дхарма често почињу са изложеним или слабо заштићеним протоколом за удаљену радну површину (RDP). Нападачи се ослањају на нападе грубом силом и речничке нападе и, једном када уђу, могу да онемогуће заштитне зидове хоста. Поред RDP-а, екосистем користи фишинг и друштвени инжењеринг, злонамерно оглашавање, непоуздане изворе софтвера, прилоге спама и тројанце који се баве учитавањем/бекдором. Злонамерни корисни садржаји се обично испоручују као архиве (RAR/ZIP), извршне датотеке, скрипте (укључујући JavaScript) и документи (PDF, Office, OneNote). Одређене породице се такође шире путем локалних мрежа и преносивих медија.

Задржавање и опоравак

Уклоните ransomware да бисте зауставили даље шифровање, али имајте на уму да уклањање не враћа закључане датотеке. Опоравак захтева чисте, верзионисане резервне копије. Златни стандард је чување копија на више локација и типова медија, укључујући и офлајн складиште које малвер не може да дотакне.

Уобичајени вектори приступа и дистрибуције претњи ransomware-а укључују:

• Изложене/слабе RDP услуге, уношење акредитива и груба присилна пријава
• Фишинг имејлови, мамци за социјални инжењеринг, спам прилози и линкови, злонамерно оглашавање, тројанска преузимања, аутоматска преузимања, пиратски софтвер и „крекови“, лажни програми за ажурирање и инфекције са учитавањем/бекдором; латерално ширење путем ЛАН мреже и преносивих УСБ/уређаја за складиштење података

Закључак

RDAT Ransomware је дисциплинована, профитом вођена варијанта Dharma вируса: он опстаје након поновног покретања система, брише тачке опоравка, циља и локалне и дељене податке и користи тактике притиска као оружје за изнуду плаћања. Најпоузданији пут ка отпорности је проактивно јачање плус робусне, офлајн резервне копије и добро увежбани опоравак. Не плаћајте; искорените, вратите и појачајте одбрану како бисте спречили следећи покушај.