RDAT Fidye Yazılımı

Fidye yazılımları, ev kullanıcıları ve kuruluşların karşı karşıya olduğu en yıkıcı tehditlerden biri olmaya devam ediyor. Tek bir saldırı, belgeleri, fotoğrafları ve iş verilerini dakikalar içinde bozabilir ve ardından kurbanlardan erişim talep edebilir. Verimli Dharma ailesinin bir kolu olan RDAT Fidye Yazılımları, katmanlı savunmaların ve disiplinli kurtarma planlamasının neden önemli olduğunu gösteriyor.

Tehdit Profili: RDAT’a Genel Bakış

Bilgi güvenliği araştırmacıları, yeni ortaya çıkan kötü amaçlı yazılımları kapsamlı bir şekilde incelerken RDAT'ı tespit ettiler. Bu, veri gaspı için özel olarak tasarlanmış bir Dharma varyantıdır: dosyaları şifreler ve kurbanları şifre çözme için ödeme yapmaya zorlar. RDAT, hem yerel sürücüleri hem de ağ paylaşımlarını hedef alarak, cihazın önyüklenebilir kalmasını ve kurbanın fidye notlarını okuyabilmesini sağlamak için kritik sistem dosyalarından kasıtlı olarak kaçınır.

Mağdurların Gördükleri

RDAT çalıştırıldığında, çok çeşitli dosya türlerini şifreler. Dosya adları, benzersiz bir kurban kimliği, saldırganın e-posta adresi ve '.RDAT' uzantısını içerecek şekilde değiştirilir, örneğin:
1.png, 1.png.id-9ECFA84E.[dat@mailum.com].RDAT olur

İki fidye notu geliyor: dosyaların şifrelendiğini belirten bir açılır pencere ve iletişim talimatları içeren 'DAT_INFO.txt' adlı bir metin dosyası. Operatörler, kanıt olarak üç dosyaya kadar şifre çözmeyi teklif ediyor (boyut/biçim sınırlamalarına tabi) ve üçüncü taraf araçları kullanmanın veya şifrelenmiş verileri değiştirmenin kalıcı kayba neden olabileceği konusunda uyarıyor. Bu taktikler, size yardımcı olmak için değil, güvenilirlik ve aciliyet duygusu oluşturmak için tasarlanmıştır.

RDAT Nasıl Kalır ve Yayılır?

RDAT, Dharma'nın kalıcılık ve kurtarma önleme stratejisini devralır. Kötü amaçlı yazılım kendini %LOCALAPPDATA% dizinine kopyalar, belirli Çalıştırma anahtarları aracılığıyla otomatik çalıştırma girdilerini kaydeder ve yeniden başlatmanın ardından yeniden başlatılır. Hızlı geri yüklemeleri engellemek için Birim Gölge Kopyalarını siler. Şifrelemeden önce, dosyaları açık tutabilecek işlemleri (veritabanları, belge okuyucuları vb.) sonlandırarak maksimum koruma sağlar. Ayrıca, bilinen bir listeye göre kontrol ederek, diğer fidye yazılımlarının zaten etkilediği verilerin "çift şifrelenmesini" önlemeye çalışır; bu da kusurlu bir güvenlik kontrolüdür.

Hedef Seçimi ve Coğrafi Sınırlama

Kötü amaçlı yazılım, kurbanın ödeme yapma olasılığını ölçmek için coğrafi konum verilerini toplar. Bölge ekonomik veya jeopolitik nedenlerle elverişsiz görünüyorsa, şifrelemeyi tamamen atlayabilir. Bu davranışın tek amacı, fidye getirisini en üst düzeye çıkarmaktır.

Ödeme Yapmak Neden Kaybedilen Bir Bahistir?

Saldırganların anahtarları olmadan, fidye yazılımı saldırısından sonra şifre çözme genellikle imkansızdır; ancak anahtarda ciddi bir kusur varsa. O zaman bile ödeme yapmak risklidir: Birçok kurban çalışan şifre çözücülere asla sahip olmaz. Ödeme aynı zamanda daha fazla saldırıyı finanse eder. Sorumlu bir yol, kötü amaçlı yazılımı ortadan kaldırmak, güvenilir yedeklerden yeniden yapılandırmak ve tekrarlanan bir olayı önlemek için sistemleri güçlendirmektir.

Onaylanmış Teslimat Kanalları

Dharma ailesi saldırıları genellikle açık veya zayıf korumalı Uzak Masaüstü Protokolü (RDP) ile başlar. Saldırganlar kaba kuvvet ve sözlük saldırılarına güvenir ve bir kez eriştiklerinde ana bilgisayar güvenlik duvarlarını devre dışı bırakabilirler. RDP'nin yanı sıra, ekosistem kimlik avı ve sosyal mühendislik, kötü amaçlı reklamlar, güvenilmez yazılım kaynakları, spam ekleri ve yükleyici/arka kapı trojanlarından da yararlanır. Kötü amaçlı yükler genellikle arşivler (RAR/ZIP), yürütülebilir dosyalar, betikler (JavaScript dahil) ve belgeler (PDF, Office, OneNote) olarak gönderilir. Bazı aileler ayrıca yerel ağlar ve çıkarılabilir medya aracılığıyla da yayılır.

Sınırlama ve Kurtarma

Daha fazla şifrelemeyi durdurmak için fidye yazılımını ortadan kaldırın, ancak kaldırmanın kilitli dosyaları geri yüklemediğini unutmayın. Kurtarma işlemi temiz, sürümlü yedekler gerektirir. Altın standart, kötü amaçlı yazılımların erişemeyeceği çevrimdışı depolama alanı da dahil olmak üzere birden fazla konumda ve medya türünde kopyalar tutmaktır.

Fidye yazılımı tehditlerine yönelik yaygın erişim ve dağıtım vektörleri şunlardır:

• Açığa çıkmış/zayıf RDP hizmetleri, kimlik bilgisi doldurma ve kaba kuvvetle girişler
• Kimlik avı e-postaları, sosyal mühendislik tuzakları, spam ekleri ve bağlantıları, kötü amaçlı reklamlar, truva atı içeren indirmeler, geçici indirmeler, korsan yazılımlar ve 'kırıklar', sahte güncelleyiciler ve yükleyici/arka kapı enfeksiyonları; LAN ve çıkarılabilir USB/depolama aygıtları aracılığıyla yanal yayılma

Sonuç

RDAT Fidye Yazılımı, disiplinli ve kâr odaklı bir Dharma çeşididir: yeniden başlatmalar boyunca varlığını sürdürür, kurtarma noktalarını siler, hem yerel hem de paylaşılan verileri hedef alır ve ödeme almak için baskı taktiklerini silah olarak kullanır. Dayanıklılığa giden en güvenilir yol, proaktif güçlendirmenin yanı sıra sağlam, çevrimdışı yedeklemeler ve iyi prova edilmiş kurtarmadır. Ödeme yapmayın; bir sonraki girişimi önlemek için savunmaları ortadan kaldırın, geri yükleyin ve sıkılaştırın.