Ransomware RDAT
Les ransomwares demeurent l'une des menaces les plus perturbatrices pour les particuliers et les entreprises. Une seule intrusion peut brouiller des documents, des photos et des données professionnelles en quelques minutes, puis extorquer l'accès à leurs victimes. Le ransomware RDAT, issu de la famille prolifique Dharma, illustre l'importance de défenses multicouches et d'une planification rigoureuse de la reprise d'activité.
Table des matières
Profil de menace : RDAT en un coup d’œil
Des chercheurs en sécurité informatique ont identifié RDAT lors d'une vaste étude sur les nouveaux malwares. Il s'agit d'une variante de Dharma spécialement conçue pour l'extorsion de données : elle chiffre les fichiers et incite les victimes à payer pour les déchiffrer. RDAT cible à la fois les disques locaux et les partages réseau, évitant délibérément les fichiers système critiques afin que l'appareil reste amorçable et que la victime puisse lire les demandes de rançon.
Ce que voient les victimes
Une fois exécuté, RDAT chiffre un large éventail de types de fichiers. Les noms de fichiers sont modifiés pour inclure l'identifiant unique de la victime, l'adresse e-mail de l'attaquant et l'extension « .RDAT », par exemple :
1.png devient 1.png.id-9ECFA84E.[dat@mailum.com].RDAT
Deux demandes de rançon suivent : une fenêtre contextuelle indiquant que les fichiers sont chiffrés et un fichier texte nommé « DAT_INFO.txt » contenant des instructions de contact. Les opérateurs proposent de déchiffrer jusqu'à trois fichiers (sous réserve de limites de taille et de format) comme preuve, tout en avertissant que l'utilisation d'outils tiers ou la modification des données chiffrées peut entraîner une perte définitive. Ces tactiques visent à renforcer la crédibilité et l'urgence de la situation, et non à vous aider.
Comment le RDAT persiste et se propage
RDAT hérite du protocole de persistance et d'anti-récupération de Dharma. Le malware se copie dans %LOCALAPPDATA%, enregistre les entrées d'exécution automatique via des clés d'exécution spécifiques et se relance après le redémarrage. Pour bloquer les restaurations rapides, il supprime les clichés instantanés de volume. Avant le chiffrement, il arrête les processus susceptibles de maintenir les fichiers ouverts (bases de données, lecteurs de documents, etc.), garantissant ainsi une couverture maximale. Il tente également d'éviter le double chiffrement des données déjà infectées par d'autres ransomwares en les comparant à une liste connue, ce qui constitue un contrôle de sécurité imparfait.
Sélection de cibles et géorepérage
Le logiciel malveillant collecte des données de géolocalisation pour évaluer la probabilité de paiement d'une victime. Si la région semble défavorable, pour des raisons économiques ou géopolitiques, il peut ignorer complètement le chiffrement. Ce comportement vise uniquement à maximiser le rendement de la rançon.
Pourquoi payer est un pari perdant
Le déchiffrement après une attaque par rançongiciel est généralement impossible sans les clés des attaquants, sauf si la souche est gravement défectueuse. Même dans ce cas, payer est risqué : de nombreuses victimes ne reçoivent jamais de déchiffreurs fonctionnels. Le paiement finance également de nouvelles attaques. La solution responsable consiste à éradiquer le logiciel malveillant, à reconstruire à partir de sauvegardes fiables et à renforcer les systèmes pour éviter un nouvel incident.
Canaux de livraison confirmés
Les intrusions de la famille Dharma débutent souvent par un protocole RDP (Remote Desktop Protocol) exposé ou faiblement protégé. Les attaquants s'appuient sur des attaques par force brute et par dictionnaire et, une fois à l'intérieur, peuvent désactiver les pare-feu des hôtes. Au-delà du RDP, l'écosystème exploite le phishing et l'ingénierie sociale, le malvertising, les sources de logiciels non fiables, les pièces jointes de spam et les chevaux de Troie de type loader/backdoor. Les charges utiles malveillantes sont généralement diffusées sous forme d'archives (RAR/ZIP), d'exécutables, de scripts (y compris JavaScript) et de documents (PDF, Office, OneNote). Certaines familles se propagent également via les réseaux locaux et les supports amovibles.
Confinement et rétablissement
Supprimez le rançongiciel pour empêcher tout chiffrement ultérieur, mais sachez que sa suppression ne restaure pas les fichiers verrouillés. La récupération nécessite des sauvegardes propres et versionnées. La règle d'or consiste à conserver des copies sur plusieurs emplacements et supports, y compris des stockages hors ligne inaccessibles aux logiciels malveillants.
Les vecteurs d’accès et de distribution courants des menaces de ransomware incluent :
- Services RDP exposés/faibles, bourrage d'informations d'identification et connexions par force brute
- Courriels d'hameçonnage, leurres d'ingénierie sociale, pièces jointes et liens de spam, publicités malveillantes, téléchargements trojanisés, téléchargements furtifs, logiciels piratés et « cracks », faux programmes de mise à jour et infections par chargeur/porte dérobée ; propagation latérale via le réseau local et les périphériques USB/de stockage amovibles
En résumé
Le rançongiciel RDAT est une variante du Dharma, rigoureuse et axée sur le profit : il persiste après chaque redémarrage, supprime les points de récupération, cible les données locales et partagées et utilise des tactiques de pression pour obtenir des paiements. La voie la plus fiable vers la résilience réside dans un renforcement proactif, des sauvegardes robustes et hors ligne, ainsi qu'une récupération bien rodée. Ne payez pas ; éradiquez, restaurez et renforcez vos défenses pour éviter la prochaine tentative.
messages
Les messages suivants associés à Ransomware RDAT ont été trouvés:
All your files have been encrypted! |
Ransom note presented as a text file: |
