RDAT Ransomware

Ang Ransomware ay nananatiling isa sa mga pinaka nakakagambalang banta na kinakaharap ng mga user at organisasyon sa bahay. Ang isang panghihimasok ay maaaring mag-aagawan ng mga dokumento, larawan, at data ng negosyo sa loob ng ilang minuto, pagkatapos ay mangikil sa mga biktima para ma-access. Ang RDAT Ransomware, isang sangay ng maunlad na pamilya ng Dharma, ay naglalarawan kung bakit mahalaga ang mga layered na depensa at disiplinadong pagpaplano sa pagbawi.

Profile ng Banta: RDAT sa isang Sulyap

Tinukoy ng mga mananaliksik ng Infosec ang RDAT sa panahon ng malawak na pagsusuri ng umuusbong na malware. Ito ay isang Dharma-variant na layunin-built para sa data extortion: ito ay nag-encrypt ng mga file at pinipilit ang mga biktima na magbayad para sa decryption. Tina-target ng RDAT ang parehong mga lokal na drive at pagbabahagi ng network, sadyang iniiwasan ang mga kritikal na file ng system upang manatiling bootable ang device at mabasa ng biktima ang mga tala ng ransom.

Ang Nakikita ng mga Biktima

Kapag naisakatuparan ang RDAT, nag-e-encrypt ito ng malawak na hanay ng mga uri ng file. Ang mga filename ay binago upang isama ang isang natatanging ID ng biktima, ang email ng umaatake, at ang extension na '.RDAT', halimbawa:
Ang 1.png ay nagiging 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Dalawang ransom notes ang sumusunod: isang pop-up window na nagsasaad na ang mga file ay naka-encrypt at isang text file na pinangalanang 'DAT_INFO.txt' na may mga tagubilin sa pakikipag-ugnayan. Ang alok ng mga operator' na mag-decrypt ng hanggang tatlong file (napapailalim sa mga limitasyon sa laki/format) bilang patunay, habang nagbabala na ang paggamit ng mga tool ng third-party o pagbabago ng naka-encrypt na data ay maaaring magdulot ng permanenteng pagkawala. Ang mga taktikang ito ay idinisenyo upang bumuo ng kredibilidad at pagkaapurahan, hindi para tulungan ka.

Paano Nananatili at Kumakalat ang RDAT

Namana ng RDAT ang pagpupursige at anti-recovery na playbook ng Dharma. Kinokopya ng malware ang sarili nito sa %LOCALAPPDATA%, nagrerehistro ng mga autorun na entry sa pamamagitan ng mga partikular na Run key, at muling inilulunsad pagkatapos ng reboot. Para harangan ang mga mabilisang pag-restore, dine-delete nito ang Volume Shadow Copies. Bago ang pag-encrypt, tinatapos nito ang mga proseso na maaaring panatilihing bukas ang mga file (mga database, mga mambabasa ng dokumento, at katulad), na tinitiyak ang maximum na saklaw. Sinusubukan din nitong maiwasan ang 'double-encrypting' na data na natamaan na ng iba pang ransomware sa pamamagitan ng pagsuri sa isang kilalang listahan, isang hindi perpektong pagsusuri sa kaligtasan.

Pagpili ng Target at Geofencing

Kinokolekta ng malware ang data ng geolocation upang masukat kung malamang na magbayad ang isang biktima. Kung ang rehiyon ay lumalabas na hindi kanais-nais, matipid o para sa geopolitical na mga kadahilanan, maaari nitong laktawan ang pag-encrypt nang buo. Ang pag-uugaling ito ay puro tungkol sa pag-maximize ng ransom yield.

Bakit Ang Pagbabayad ay Isang Talong Taya

Ang pag-decryption pagkatapos ng pag-atake ng ransomware ay kadalasang imposible nang wala ang mga susi ng mga umaatake, maliban kung ang strain ay may malubhang depekto. Kahit na noon, ang pagbabayad ay mapanganib: maraming mga biktima ang hindi nakakatanggap ng mga gumaganang decryptor. Pinopondohan din ng pagbabayad ang mas maraming pag-atake. Ang responsableng landas ay ang puksain ang malware, muling buuin mula sa mapagkakatiwalaang pag-backup, at patigasin ang mga system upang maiwasan ang paulit-ulit na insidente.

Mga Nakumpirmang Channel sa Paghahatid

Ang mga panghihimasok ng pamilya ng Dharma ay madalas na nagsisimula sa nakalantad o mahinang protektadong Remote Desktop Protocol (RDP). Umaasa ang mga attacker sa brute-force at pag-atake sa diksyunaryo at, sa sandaling pumasok, maaaring hindi paganahin ang mga host firewall. Higit pa sa RDP, ginagamit ng ecosystem ang phishing at social engineering, malvertising, hindi mapagkakatiwalaang software source, spam attachment, at loader/backdoor trojan. Ang mga nakakahamak na payload ay karaniwang ipinapadala bilang mga archive (RAR/ZIP), mga executable, script (kabilang ang JavaScript), at mga dokumento (PDF, Office, OneNote). Ang ilang mga pamilya ay nagpapalaganap din sa pamamagitan ng mga lokal na network at naaalis na media.

Pagpipigil at Pagbawi

Tanggalin ang ransomware upang ihinto ang karagdagang pag-encrypt, ngunit unawain na ang pag-alis ay hindi nagpapanumbalik ng mga naka-lock na file. Nangangailangan ang pagbawi ng malinis at may bersyon na mga backup. Ang pamantayang ginto ay ang pagpapanatili ng mga kopya sa maraming lokasyon at uri ng media, kabilang ang offline na storage na hindi mahawakan ng malware.

Kasama sa mga karaniwang access at distribution vector para sa mga banta ng ransomware ang:

• Nalantad/mahinang mga serbisyo ng RDP, pagpupuno ng kredensyal, at mga brute-force na pag-login
• Mga email sa phishing, social engineering lure, spam attachment at link, malvertising, trojanized na pag-download, drive-by na pag-download, pirated na software at 'crack,' mga pekeng updater, at loader/backdoor na impeksyon; lateral spread sa pamamagitan ng LAN at mga naaalis na USB/storage device

Bottom Line

Ang RDAT Ransomware ay isang disiplinadong variant ng Dharma na hinihimok ng tubo: nagpapatuloy ito sa mga pag-reboot, tinatanggal ang mga punto ng pagbawi, tina-target ang parehong lokal at nakabahaging data, at ginagamit ang mga taktika ng panggigipit upang kunin ang pagbabayad. Ang pinaka-maaasahang landas tungo sa katatagan ay ang maagap na hardening kasama ang matatag, offline-capable na pag-backup at well-rehearsed recovery. Huwag magbayad; puksain, ibalik, at higpitan ang mga depensa upang maiwasan ang susunod na pagtatangka.