Phần mềm tống tiền RDAT

Ransomware vẫn là một trong những mối đe dọa gây gián đoạn nghiêm trọng nhất đối với người dùng gia đình và các tổ chức. Chỉ một cuộc tấn công đơn lẻ có thể làm xáo trộn tài liệu, ảnh và dữ liệu kinh doanh trong vài phút, sau đó tống tiền nạn nhân để giành quyền truy cập. RDAT Ransomware, một nhánh của dòng Dharma nổi tiếng, minh họa lý do tại sao việc phòng thủ nhiều lớp và lập kế hoạch phục hồi nghiêm ngặt là vô cùng quan trọng.

Hồ sơ mối đe dọa: Tổng quan về RDAT

Các nhà nghiên cứu Infosec đã phát hiện RDAT trong một đợt đánh giá rộng rãi về phần mềm độc hại mới nổi. Đây là một biến thể Dharma được thiết kế riêng cho mục đích tống tiền dữ liệu: nó mã hóa các tệp và gây áp lực buộc nạn nhân phải trả tiền để giải mã. RDAT nhắm mục tiêu vào cả ổ đĩa cục bộ và các chia sẻ mạng, cố tình tránh các tệp hệ thống quan trọng để thiết bị vẫn có thể khởi động và nạn nhân có thể đọc được thông báo đòi tiền chuộc.

Những gì nạn nhân nhìn thấy

Sau khi thực thi, RDAT sẽ mã hóa nhiều loại tệp khác nhau. Tên tệp được thay đổi để bao gồm ID nạn nhân duy nhất, email của kẻ tấn công và phần mở rộng '.RDAT', ví dụ:
1.png trở thành 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Tiếp theo là hai thông báo đòi tiền chuộc: một cửa sổ bật lên thông báo các tệp đã được mã hóa và một tệp văn bản có tên 'DAT_INFO.txt' kèm theo hướng dẫn liên hệ. Kẻ tấn công đề nghị giải mã tối đa ba tệp (tùy thuộc vào giới hạn kích thước/định dạng) làm bằng chứng, đồng thời cảnh báo rằng việc sử dụng công cụ của bên thứ ba hoặc sửa đổi dữ liệu đã mã hóa có thể gây ra mất mát vĩnh viễn. Những chiến thuật này được thiết kế để xây dựng uy tín và tính cấp thiết, chứ không phải để giúp bạn.

RDAT tồn tại và lây lan như thế nào

RDAT kế thừa khả năng chống phục hồi và tính bền bỉ của Dharma. Phần mềm độc hại tự sao chép vào %LOCALAPPDATA%, đăng ký các mục autorun thông qua các khóa Run cụ thể và khởi chạy lại sau khi khởi động lại. Để chặn việc khôi phục nhanh, nó xóa các Bản sao Bóng Khối lượng. Trước khi mã hóa, nó sẽ chấm dứt các tiến trình có thể giữ cho tệp mở (cơ sở dữ liệu, trình đọc tài liệu, v.v.), đảm bảo phạm vi bao phủ tối đa. Nó cũng cố gắng tránh "mã hóa kép" dữ liệu đã bị các phần mềm tống tiền khác tấn công bằng cách kiểm tra với một danh sách đã biết, một quy trình kiểm tra an toàn không hoàn hảo.

Lựa chọn mục tiêu và hàng rào địa lý

Phần mềm độc hại thu thập dữ liệu định vị địa lý để đánh giá khả năng nạn nhân trả tiền chuộc. Nếu khu vực có vẻ bất lợi về kinh tế hoặc địa chính trị, nó có thể bỏ qua hoàn toàn quá trình mã hóa. Hành vi này hoàn toàn nhằm mục đích tối đa hóa lợi nhuận tiền chuộc.

Tại sao trả tiền là một canh bạc thua lỗ

Việc giải mã sau một cuộc tấn công ransomware thường là bất khả thi nếu không có khóa của kẻ tấn công, trừ khi mã độc đó bị lỗi nghiêm trọng. Ngay cả khi đó, việc trả tiền vẫn rất rủi ro: nhiều nạn nhân không bao giờ nhận được mã giải mã hoạt động. Việc trả tiền cũng đồng nghĩa với việc tài trợ cho các cuộc tấn công tiếp theo. Giải pháp khả thi là loại bỏ phần mềm độc hại, xây dựng lại từ các bản sao lưu đáng tin cậy và củng cố hệ thống để ngăn chặn sự cố lặp lại.

Kênh giao hàng đã xác nhận

Các cuộc xâm nhập của nhóm Dharma thường bắt đầu bằng Giao thức Máy tính Từ xa (RDP) bị lộ hoặc được bảo vệ yếu. Kẻ tấn công sử dụng các cuộc tấn công brute-force và dictionary, và một khi đã xâm nhập được, có thể vô hiệu hóa tường lửa máy chủ. Ngoài RDP, hệ sinh thái này còn tận dụng các kỹ thuật lừa đảo và kỹ thuật xã hội, quảng cáo độc hại, các nguồn phần mềm không đáng tin cậy, tệp đính kèm thư rác và trojan tải/cửa hậu. Các payload độc hại thường được gửi dưới dạng tệp lưu trữ (RAR/ZIP), tệp thực thi, tập lệnh (bao gồm JavaScript) và tài liệu (PDF, Office, OneNote). Một số nhóm cũng lây lan qua mạng cục bộ và phương tiện lưu động.

Ngăn chặn và phục hồi

Loại bỏ ransomware để ngăn chặn mã hóa tiếp theo, nhưng cần hiểu rằng việc xóa bỏ không khôi phục các tệp bị khóa. Việc khôi phục đòi hỏi phải sao lưu sạch và có phiên bản. Tiêu chuẩn vàng là lưu trữ các bản sao ở nhiều vị trí và loại phương tiện khác nhau, bao gồm cả lưu trữ ngoại tuyến mà phần mềm độc hại không thể chạm tới.

Các phương thức truy cập và phân phối phổ biến cho các mối đe dọa ransomware bao gồm:

• Các dịch vụ RDP yếu/bị lộ, nhồi nhét thông tin xác thực và đăng nhập bằng phương pháp tấn công brute-force
• Email lừa đảo, mồi nhử kỹ thuật xã hội, tệp đính kèm và liên kết thư rác, quảng cáo độc hại, tải xuống trojan, tải xuống tự động, phần mềm lậu và 'bẻ khóa', trình cập nhật giả mạo và nhiễm trình tải/cửa sau; lây lan ngang qua mạng LAN và thiết bị lưu trữ/USB có thể tháo rời

Kết luận

RDAT Ransomware là một biến thể Dharma có kỷ luật và hướng đến lợi nhuận: nó tồn tại qua nhiều lần khởi động lại, xóa các điểm khôi phục, nhắm mục tiêu cả dữ liệu cục bộ và dữ liệu chia sẻ, và sử dụng các chiến thuật gây áp lực để đòi tiền chuộc. Con đường đáng tin cậy nhất để phục hồi là chủ động củng cố hệ thống, kết hợp với các bản sao lưu mạnh mẽ, có khả năng ngoại tuyến và quá trình phục hồi được diễn tập kỹ lưỡng. Đừng trả tiền; hãy xóa bỏ, khôi phục và tăng cường phòng thủ để ngăn chặn các nỗ lực tiếp theo.