แรนซัมแวร์ RDAT

แรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความเสียหายมากที่สุดที่ผู้ใช้ตามบ้านและองค์กรต่างๆ ต้องเผชิญ การบุกรุกเพียงครั้งเดียวสามารถถอดรหัสเอกสาร ภาพถ่าย และข้อมูลธุรกิจได้ภายในไม่กี่นาที จากนั้นก็ขู่กรรโชกทรัพย์เพื่อเข้าถึงข้อมูล แรนซัมแวร์ RDAT ซึ่งเป็นสาขาหนึ่งของตระกูล Dharma ที่เติบโตอย่างแพร่หลาย แสดงให้เห็นว่าการป้องกันแบบหลายชั้นและการวางแผนการกู้คืนข้อมูลอย่างมีวินัยจึงเป็นสิ่งสำคัญ

โปรไฟล์ภัยคุกคาม: RDAT ในภาพรวม

นักวิจัยด้าน Infosec ระบุ RDAT ระหว่างการตรวจสอบมัลแวร์ที่เพิ่งเกิดขึ้นอย่างกว้างขวาง RDAT เป็นมัลแวร์ประเภท Dharma ที่ออกแบบมาเพื่อการรีดไถข้อมูลโดยเฉพาะ โดยเข้ารหัสไฟล์และกดดันเหยื่อให้จ่ายเงินเพื่อถอดรหัส RDAT มุ่งเป้าไปที่ทั้งไดรฟ์ภายในและที่แชร์บนเครือข่าย โดยจงใจหลีกเลี่ยงไฟล์ระบบสำคัญๆ เพื่อให้อุปกรณ์ยังคงสามารถบูตได้และเหยื่อสามารถอ่านบันทึกเรียกค่าไถ่ได้

สิ่งที่เหยื่อเห็น

เมื่อ RDAT เริ่มทำงาน มันจะเข้ารหัสไฟล์หลากหลายประเภท ชื่อไฟล์จะถูกเปลี่ยนแปลงโดยเพิ่มรหัสเฉพาะของเหยื่อ อีเมลของผู้โจมตี และนามสกุลไฟล์ '.RDAT' ตัวอย่างเช่น:
1.png กลายเป็น 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

มีข้อความเรียกค่าไถ่สองฉบับตามมา ได้แก่ หน้าต่างป๊อปอัปที่ระบุว่าไฟล์ได้รับการเข้ารหัส และไฟล์ข้อความชื่อ 'DAT_INFO.txt' พร้อมคำแนะนำในการติดต่อ เจ้าหน้าที่เสนอให้ถอดรหัสไฟล์ได้สูงสุดสามไฟล์ (ขึ้นอยู่กับขนาด/รูปแบบที่จำกัด) เพื่อเป็นหลักฐาน พร้อมเตือนว่าการใช้เครื่องมือของบุคคลที่สามหรือการแก้ไขข้อมูลที่เข้ารหัสอาจทำให้ข้อมูลสูญหายอย่างถาวร กลยุทธ์เหล่านี้ออกแบบมาเพื่อสร้างความน่าเชื่อถือและความเร่งด่วน ไม่ใช่เพื่อช่วยเหลือคุณ

RDAT อยู่และแพร่กระจายได้อย่างไร

RDAT สืบทอดแนวทางปฏิบัติในการคงอยู่และป้องกันการกู้คืนของ Dharma มัลแวร์จะคัดลอกตัวเองลงใน %LOCALAPPDATA% ลงทะเบียนรายการ autorun ผ่านคีย์ Run เฉพาะ และเปิดใหม่หลังจากรีบูต เพื่อบล็อกการคืนค่าอย่างรวดเร็ว มันจะลบ Volume Shadow Copies ก่อนการเข้ารหัส มันจะยุติกระบวนการที่อาจทำให้ไฟล์เปิดอยู่ (เช่น ฐานข้อมูล โปรแกรมอ่านเอกสาร และอื่นๆ) เพื่อให้ครอบคลุมพื้นที่สูงสุด นอกจากนี้ยังพยายามหลีกเลี่ยงการเข้ารหัสข้อมูลซ้ำซ้อน (double-encrypting) ที่แรนซัมแวร์ตัวอื่นเคยถูกโจมตีแล้ว โดยการตรวจสอบกับรายการที่รู้จัก ซึ่งเป็นการตรวจสอบความปลอดภัยที่ไม่สมบูรณ์

การเลือกเป้าหมายและการกำหนดขอบเขตทางภูมิศาสตร์

มัลแวร์จะรวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์เพื่อประเมินว่าเหยื่อมีแนวโน้มที่จะจ่ายเงินหรือไม่ หากภูมิภาคนั้นไม่เอื้ออำนวย ไม่ว่าจะเป็นทางเศรษฐกิจหรือทางภูมิรัฐศาสตร์ มัลแวร์อาจข้ามการเข้ารหัสไปเลย พฤติกรรมนี้มุ่งหวังเพียงการเพิ่มผลตอบแทนจากการเรียกค่าไถ่ให้สูงสุด

ทำไมการจ่ายเงินถึงเป็นการเดิมพันที่เสียเปรียบ

การถอดรหัสหลังจากการโจมตีด้วยแรนซัมแวร์มักจะทำไม่ได้หากไม่มีคีย์ของผู้โจมตี เว้นแต่ว่าคีย์นั้นจะมีข้อบกพร่องร้ายแรง ถึงกระนั้น การจ่ายเงินก็ยังมีความเสี่ยง เพราะเหยื่อหลายรายไม่เคยได้รับตัวถอดรหัสที่ใช้งานได้ การจ่ายเงินยังช่วยสนับสนุนการโจมตีเพิ่มเติมอีกด้วย หนทางที่รับผิดชอบคือการกำจัดมัลแวร์ สร้างระบบสำรองข้อมูลที่เชื่อถือได้ขึ้นมาใหม่ และเพิ่มความแข็งแกร่งให้กับระบบเพื่อป้องกันเหตุการณ์ซ้ำ

ช่องทางการจัดส่งที่ได้รับการยืนยัน

การบุกรุกตระกูลธรรมะมักเริ่มต้นด้วยโปรโตคอลเดสก์ท็อประยะไกล (RDP) ที่เปิดเผยหรือมีการป้องกันที่อ่อนแอ ผู้โจมตีอาศัยการโจมตีแบบบรูทฟอร์ซและพจนานุกรม และเมื่อเข้าไปแล้วอาจปิดการใช้งานไฟร์วอลล์ของโฮสต์ นอกเหนือจาก RDP แล้ว ระบบนิเวศยังใช้ประโยชน์จากฟิชชิ่งและวิศวกรรมสังคม มัลแวร์โฆษณา แหล่งที่มาของซอฟต์แวร์ที่ไม่น่าเชื่อถือ ไฟล์แนบสแปม และโทรจันโหลดเดอร์/แบ็คดอร์ โดยทั่วไปเพย์โหลดที่เป็นอันตรายจะถูกส่งเป็นไฟล์เก็บถาวร (RAR/ZIP) ไฟล์ปฏิบัติการ สคริปต์ (รวมถึง JavaScript) และเอกสาร (PDF, Office, OneNote) ตระกูลบางตระกูลยังแพร่กระจายผ่านเครือข่ายท้องถิ่นและสื่อแบบถอดได้

การกักเก็บและการกู้คืน

กำจัดแรนซัมแวร์เพื่อหยุดการเข้ารหัสเพิ่มเติม แต่โปรดเข้าใจว่าการลบแรนซัมแวร์ไม่ได้กู้คืนไฟล์ที่ถูกล็อก การกู้คืนข้อมูลจำเป็นต้องมีการสำรองข้อมูลที่สะอาดและมีเวอร์ชันมาตรฐาน มาตรฐานที่ดีที่สุดคือการเก็บรักษาสำเนาไว้ในหลายตำแหน่งและหลายสื่อ รวมถึงพื้นที่จัดเก็บข้อมูลแบบออฟไลน์ที่มัลแวร์ไม่สามารถเข้าถึงได้

เวกเตอร์การเข้าถึงและการกระจายทั่วไปสำหรับภัยคุกคามแรนซัมแวร์ ได้แก่:

• บริการ RDP ที่เปิดเผย/อ่อนแอ การยัดเยียดข้อมูลประจำตัว และการเข้าสู่ระบบแบบบรูทฟอร์ซ
• อีเมลฟิชชิ่ง กลลวงทางโซเชียล ไฟล์แนบและลิงก์สแปม มัลแวร์โฆษณา การดาวน์โหลดแบบโทรจัน การดาวน์โหลดแบบไดรฟ์บาย ซอฟต์แวร์ละเมิดลิขสิทธิ์และ 'แคร็ก' โปรแกรมอัปเดตปลอม และการติดเชื้อโหลดเดอร์/แบ็กดอร์ แพร่กระจายในแนวขวางผ่าน LAN และอุปกรณ์ USB/ที่เก็บข้อมูลแบบถอดได้

บรรทัดล่าง

แรนซัมแวร์ RDAT เป็นแรนซัมแวร์แบบ Dharma ที่มีวินัยและมุ่งเน้นผลกำไร โดยจะคงอยู่ตลอดการรีบูต ลบจุดกู้คืน โจมตีทั้งข้อมูลภายในและข้อมูลที่ใช้ร่วมกัน และใช้กลยุทธ์กดดันเพื่อเรียกเงิน วิธีที่น่าเชื่อถือที่สุดในการสร้างความยืดหยุ่นคือการเสริมความแข็งแกร่งเชิงรุก บวกกับการสำรองข้อมูลที่แข็งแกร่งและใช้งานได้แบบออฟไลน์ และการกู้คืนข้อมูลที่ฝึกซ้อมมาอย่างดี อย่าจ่ายเงิน กำจัด กู้คืน และเสริมความแข็งแกร่งให้กับระบบป้องกันเพื่อป้องกันความพยายามครั้งต่อไป