Ransomware RDAT

El ransomware sigue siendo una de las amenazas más disruptivas que enfrentan usuarios domésticos y organizaciones. Una sola intrusión puede alterar documentos, fotos y datos empresariales en minutos y luego extorsionar a las víctimas para obtener acceso. El ransomware RDAT, una rama de la prolífica familia Dharma, ilustra por qué las defensas por capas y una planificación de recuperación rigurosa son esenciales.

Perfil de amenaza: RDAT de un vistazo

Los investigadores de Infosec identificaron RDAT durante una revisión exhaustiva de malware emergente. Se trata de una variante de Dharma diseñada específicamente para la extorsión de datos: cifra archivos y presiona a las víctimas para que paguen por el descifrado. RDAT ataca tanto unidades locales como recursos compartidos de red, evitando deliberadamente archivos críticos del sistema para que el dispositivo siga arrancando y la víctima pueda leer las notas de rescate.

Lo que ven las víctimas

Una vez ejecutado, RDAT cifra una amplia gama de tipos de archivos. Los nombres de archivo se modifican para incluir el ID único de la víctima, el correo electrónico del atacante y la extensión ".RDAT", por ejemplo:
1.png se convierte en 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

A continuación, aparecen dos notas de rescate: una ventana emergente que indica que los archivos están cifrados y un archivo de texto llamado "DAT_INFO.txt" con instrucciones de contacto. Los operadores ofrecen descifrar hasta tres archivos (sujeto a límites de tamaño y formato) como prueba, a la vez que advierten que usar herramientas de terceros o modificar los datos cifrados puede causar pérdidas permanentes. Estas tácticas están diseñadas para generar credibilidad y urgencia, no para ayudarte.

Cómo se mantiene y se propaga el RDAT

RDAT hereda las estrategias de persistencia y antirrecuperación de Dharma. El malware se copia a sí mismo en %LOCALAPPDATA%, registra entradas de ejecución automática mediante claves de ejecución específicas y se reinicia tras el reinicio. Para evitar restauraciones rápidas, elimina las instantáneas de volumen. Antes de cifrar, finaliza los procesos que podrían mantener los archivos abiertos (bases de datos, lectores de documentos, etc.), garantizando así la máxima cobertura. También intenta evitar el doble cifrado de datos ya afectados por otro ransomware, comprobándolos con una lista conocida, una comprobación de seguridad imperfecta.

Selección de objetivos y geofencing

El malware recopila datos de geolocalización para evaluar la probabilidad de que la víctima pague. Si la región parece desfavorable, ya sea económica o geopolíticamente, puede omitir el cifrado por completo. Este comportamiento busca maximizar el rendimiento del rescate.

Por qué pagar es una apuesta perdedora

El descifrado tras un ataque de ransomware suele ser imposible sin las claves de los atacantes, a menos que la cepa presente graves defectos. Aun así, pagar es arriesgado: muchas víctimas nunca reciben descifradores funcionales. El pago también financia más ataques. La estrategia responsable es erradicar el malware, reconstruir a partir de copias de seguridad fiables y reforzar los sistemas para evitar que se repita el incidente.

Canales de entrega confirmados

Las intrusiones de la familia Dharma suelen comenzar con un Protocolo de Escritorio Remoto (RDP) expuesto o con poca protección. Los atacantes recurren a ataques de fuerza bruta y de diccionario y, una vez dentro, pueden desactivar los firewalls del host. Además del RDP, el ecosistema se vale del phishing y la ingeniería social, la publicidad maliciosa, fuentes de software no fiables, archivos adjuntos de spam y troyanos de carga o puerta trasera. Las cargas maliciosas se distribuyen comúnmente como archivos comprimidos (RAR/ZIP), ejecutables, scripts (incluido JavaScript) y documentos (PDF, Office, OneNote). Algunas familias también se propagan a través de redes locales y medios extraíbles.

Contención y recuperación

Elimine el ransomware para detener el cifrado, pero tenga en cuenta que la eliminación no restaura los archivos bloqueados. La recuperación requiere copias de seguridad limpias y versionadas. La clave está en mantener copias en múltiples ubicaciones y en diferentes tipos de medios, incluyendo almacenamiento sin conexión que el malware no pueda acceder.

Los vectores de acceso y distribución comunes de las amenazas de ransomware incluyen:

• Servicios RDP expuestos o débiles, robo de credenciales e inicios de sesión por fuerza bruta
• Correos electrónicos de phishing, señuelos de ingeniería social, archivos adjuntos y enlaces de spam, publicidad maliciosa, descargas troyanizadas, descargas automáticas, software pirateado y 'cracks', actualizaciones falsas e infecciones de cargadores/puertas traseras; propagación lateral a través de LAN y dispositivos de almacenamiento/USB extraíbles

En resumen

El ransomware RDAT es una variante de Dharma disciplinada y con fines de lucro: persiste tras reinicios, elimina puntos de recuperación, ataca datos locales y compartidos, y utiliza tácticas de presión para obtener pagos. La vía más fiable para la resiliencia es el reforzamiento proactivo, junto con copias de seguridad robustas y compatibles sin conexión, y una recuperación bien ensayada. No pague; erradique, restaure y refuerce sus defensas para evitar el próximo intento.