Програма-вимагач RDAT

Програма-вимагач залишається однією з найбільш руйнівних загроз, з якими стикаються домашні користувачі та організації. Одне вторгнення може за лічені хвилини скомпрометувати документи, фотографії та бізнес-дані, а потім вимагати доступ у жертв. Програма-вимагач RDAT, що є відгалуженням плідної родини Dharma, ілюструє важливість багаторівневого захисту та дисциплінованого планування відновлення.

Профіль загрози: короткий огляд RDAT

Дослідники Infosec виявили RDAT під час широкого огляду нового шкідливого програмного забезпечення. Це варіант Dharma, спеціально створений для вимагання даних: він шифрує файли та змушує жертв платити за розшифрування. RDAT націлений як на локальні диски, так і на мережеві ресурси, навмисно уникаючи критичних системних файлів, щоб пристрій залишався завантажуваним, а жертва могла прочитати повідомлення з вимогою викупу.

Що бачать жертви

Після виконання RDAT шифрує широкий спектр типів файлів. Назви файлів змінюються, щоб містити унікальний ідентифікатор жертви, електронну адресу зловмисника та розширення '.RDAT', наприклад:
1.png стає 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Далі з’являються два повідомлення з вимогою викупу: спливаюче вікно, в якому повідомляється, що файли зашифровані, та текстовий файл під назвою «DAT_INFO.txt» з контактними інструкціями. Оператори пропонують розшифрувати до трьох файлів (з урахуванням обмежень щодо розміру/формату) як доказ, водночас попереджаючи, що використання сторонніх інструментів або зміна зашифрованих даних може призвести до безповоротної втрати. Ця тактика розроблена для підвищення довіри та терміновості, а не для того, щоб допомогти вам.

Як RDAT зберігається та поширюється

RDAT успадковує принципи стійкості та захисту від відновлення від Dharma. Шкідливе програмне забезпечення копіює себе в %LOCALAPPDATA%, реєструє записи автозапуску за допомогою певних ключів запуску та перезапускається після перезавантаження. Щоб блокувати швидке відновлення, воно видаляє тіньові копії томів. Перед шифруванням воно завершує процеси, які можуть тримати файли відкритими (бази даних, програми читання документів тощо), забезпечуючи максимальне покриття. Воно також намагається уникнути «подвійного шифрування» даних, які вже постраждали від іншого програмного забезпечення-вимагача, шляхом перевірки за відомим списком, що є недосконалою перевіркою безпеки.

Вибір цілі та геозонування

Шкідливе програмне забезпечення збирає дані геолокації, щоб оцінити, чи жертва ймовірно заплатить. Якщо регіон видається несприятливим з економічних або геополітичних причин, воно може повністю пропустити шифрування. Така поведінка спрямована виключно на максимізацію викупу.

Чому платити – це програшна ставка

Розшифрування після атаки програми-вимагача зазвичай неможливе без ключів зловмисників, хіба що сам штам має серйозні недоліки. Навіть тоді оплата ризикована: багато жертв ніколи не отримують робочих дешифраторів. Оплата також фінансує подальші атаки. Відповідальний шлях — знищити шкідливе програмне забезпечення, відновити систему з надійних резервних копій та посилити захист систем, щоб запобігти повторенню інциденту.

Підтверджені канали доставки

Вторгнення, пов'язані з використанням сімейства Dharma, часто починаються з виявлення або слабкого захисту протоколу віддаленого робочого столу (RDP). Зловмисники покладаються на атаки методом перебору та словника, і, потрапивши в систему, можуть відключити брандмауери хоста. Окрім RDP, екосистема використовує фішинг та соціальну інженерію, шкідливу рекламу, ненадійні джерела програмного забезпечення, вкладення спаму та трояни-завантажувачі/бекдори. Шкідливі корисні навантаження зазвичай надсилаються у вигляді архівів (RAR/ZIP), виконуваних файлів, скриптів (включаючи JavaScript) та документів (PDF, Office, OneNote). Деякі сімейства також поширюються через локальні мережі та знімні носії.

Стримування та відновлення

Видаліть програму-вимагач, щоб зупинити подальше шифрування, але пам’ятайте, що видалення не відновлює заблоковані файли. Відновлення вимагає чистих резервних копій з контрольованими версіями. Золотим стандартом є зберігання копій у кількох місцях і на різних типах носіїв, включаючи офлайн-сховище, до якого шкідливе програмне забезпечення не може дістатися.

Звичайні вектори доступу та поширення загроз програм-вимагачів включають:

• Незахищені/слабкі RDP-сервіси, заповнення облікових даних та вхід методом повного перебору
• Фішингові електронні листи, приманки соціальної інженерії, вкладення спаму та посилання, шкідлива реклама, троянські завантаження, випадкові завантаження, піратське програмне забезпечення та «крякання», фальшиві оновлення та зараження завантажувачами/бекдорами; латеральне поширення через локальну мережу та знімні USB/накопичувачі.

Підсумок

Програма-вимагач RDAT — це дисциплінований, орієнтований на прибуток варіант Дхарми: він зберігається після перезавантажень, видаляє точки відновлення, атакує як локальні, так і спільні дані, а також використовує тактики тиску для отримання оплати. Найнадійніший шлях до стійкості — це проактивне посилення захисту, а також надійне резервне копіювання з можливістю роботи в автономному режимі та добре відпрацьоване відновлення. Не платіть; знищуйте, відновлюйте та посилюйте захист, щоб запобігти наступній спробі.