RDAT Ransomware

Ransomware ist nach wie vor eine der schwerwiegendsten Bedrohungen für Privatanwender und Unternehmen. Ein einziger Angriff kann Dokumente, Fotos und Geschäftsdaten innerhalb von Minuten entschlüsseln und Opfern anschließend Zugriff erpressen. RDAT Ransomware, ein Ableger der weitverbreiteten Dharma-Familie, veranschaulicht, warum mehrschichtige Abwehrmaßnahmen und eine disziplinierte Wiederherstellungsplanung unerlässlich sind.

Bedrohungsprofil: RDAT auf einen Blick

Infosec-Forscher stießen bei einer umfassenden Untersuchung neu auftretender Schadsoftware auf RDAT. Es handelt sich um eine Dharma-Variante, die speziell für Datenerpressung entwickelt wurde: Sie verschlüsselt Dateien und setzt die Opfer unter Druck, für die Entschlüsselung zu bezahlen. RDAT zielt sowohl auf lokale Laufwerke als auch auf Netzwerkfreigaben ab und meidet dabei bewusst kritische Systemdateien, damit das Gerät bootfähig bleibt und das Opfer die Lösegeldforderungen lesen kann.

Was Opfer sehen

Sobald RDAT ausgeführt wird, verschlüsselt es eine Vielzahl von Dateitypen. Die Dateinamen werden so geändert, dass sie eine eindeutige Opfer-ID, die E-Mail-Adresse des Angreifers und die Erweiterung „.RDAT“ enthalten, zum Beispiel:
1.png wird zu 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Es folgen zwei Lösegeldforderungen: ein Popup-Fenster mit der Meldung, dass die Dateien verschlüsselt sind, und eine Textdatei namens „DAT_INFO.txt“ mit Kontaktinformationen. Die Betreiber bieten als Beweis die Entschlüsselung von bis zu drei Dateien (vorbehaltlich Größen-/Formatbeschränkungen) an und warnen gleichzeitig, dass die Verwendung von Drittanbieter-Tools oder die Änderung verschlüsselter Daten zu dauerhaftem Verlust führen kann. Diese Taktik zielt darauf ab, Glaubwürdigkeit und Dringlichkeit zu erwecken, nicht darauf, Ihnen zu helfen.

Wie RDAT verbleibt und sich ausbreitet

RDAT übernimmt Dharmas Persistenz- und Anti-Recovery-Strategie. Die Malware kopiert sich in %LOCALAPPDATA%, registriert Autorun-Einträge über spezielle Run-Schlüssel und startet nach dem Neustart neu. Um schnelle Wiederherstellungen zu verhindern, löscht sie Volumeschattenkopien. Vor der Verschlüsselung beendet sie Prozesse, die Dateien geöffnet halten könnten (Datenbanken, Dokumentenleser und ähnliches), um maximale Sicherheit zu gewährleisten. Sie versucht außerdem, die „Doppelverschlüsselung“ bereits von anderer Ransomware betroffener Daten zu vermeiden, indem sie diese mit einer bekannten Liste abgleicht – eine unvollkommene Sicherheitsüberprüfung.

Zielauswahl und Geofencing

Die Malware sammelt Geolokalisierungsdaten, um die Zahlungsbereitschaft des Opfers einzuschätzen. Erscheint die Region aus wirtschaftlichen oder geopolitischen Gründen ungünstig, kann die Verschlüsselung vollständig übersprungen werden. Dieses Verhalten dient ausschließlich der Maximierung des Lösegelds.

Warum Bezahlen eine verlorene Wette ist

Eine Entschlüsselung nach einem Ransomware-Angriff ist ohne die Schlüssel des Angreifers in der Regel nicht möglich, es sei denn, der Stamm ist stark fehlerhaft. Selbst dann ist die Zahlung riskant: Viele Opfer erhalten nie funktionierende Entschlüsselungsprogramme. Durch die Zahlung werden zudem weitere Angriffe finanziert. Der verantwortungsvolle Weg besteht darin, die Malware zu entfernen, mithilfe vertrauenswürdiger Backups eine Wiederherstellung durchzuführen und die Systeme zu härten, um einen erneuten Vorfall zu verhindern.

Bestätigte Lieferkanäle

Angriffe der Dharma-Familie beginnen häufig mit einem ungeschützten oder schwach geschützten Remote Desktop Protocol (RDP). Angreifer setzen auf Brute-Force- und Wörterbuchangriffe und können, sobald sie sich Zugang verschafft haben, die Firewall des Hosts deaktivieren. Neben RDP nutzt das Ökosystem Phishing und Social Engineering, Malvertising, unseriöse Softwarequellen, Spam-Anhänge und Loader/Backdoor-Trojaner. Schädliche Nutzdaten werden üblicherweise als Archive (RAR/ZIP), ausführbare Dateien, Skripte (einschließlich JavaScript) und Dokumente (PDF, Office, OneNote) ausgeliefert. Bestimmte Familien verbreiten sich auch über lokale Netzwerke und Wechseldatenträger.

Eindämmung und Wiederherstellung

Beseitigen Sie die Ransomware, um weitere Verschlüsselungen zu verhindern. Beachten Sie jedoch, dass gesperrte Dateien durch die Entfernung nicht wiederhergestellt werden. Für die Wiederherstellung sind saubere, versionierte Backups erforderlich. Der Goldstandard besteht darin, Kopien an mehreren Orten und auf verschiedenen Medientypen aufzubewahren, einschließlich Offline-Speichern, auf die Malware keinen Zugriff hat.

Zu den gängigen Zugriffs- und Verbreitungsvektoren für Ransomware-Bedrohungen zählen:

• Offene/schwache RDP-Dienste, Credential Stuffing und Brute-Force-Anmeldungen
• Phishing-E-Mails, Social-Engineering-Köder, Spam-Anhänge und -Links, Malvertising, Trojaner-Downloads, Drive-by-Downloads, Raubkopien und „Cracks“, gefälschte Updater sowie Loader-/Backdoor-Infektionen; laterale Verbreitung über LAN und entfernbare USB-/Speichergeräte

Fazit

RDAT-Ransomware ist eine disziplinierte, profitorientierte Dharma-Variante: Sie bleibt auch nach Neustarts bestehen, löscht Wiederherstellungspunkte, zielt sowohl auf lokale als auch auf gemeinsam genutzte Daten ab und nutzt Druckmittel, um Zahlungen zu erzwingen. Der zuverlässigste Weg zur Widerstandsfähigkeit ist proaktives Härten, robuste, offlinefähige Backups und eine gut eingespielte Wiederherstellung. Zahlen Sie nicht; beseitigen Sie die Bedrohung, stellen Sie sie wieder her und verstärken Sie die Abwehrmaßnahmen, um den nächsten Angriff zu verhindern.