[:en]Dharma has been known since 2016 and is one of the most profitable blackmail virus families thanks to its service-based commercial model for mass market distribution. Many iterations of your source code have been published online or sold, so there are many versions of your code today.

The main targets of Dharma RaaS attacks are small businesses. Eighty-five percent of the attacks seen in 2020 focused on devices that provide vulnerable access, such as Remote Desktop Protocol (RDP). Dharma ransoms were generally quite low: the amount claimed averaged $ 8,620.

Dharma is the fast food chain of extortion viruses: widely and easily accessible to almost anyone, said Gábor Szappanos, Cybersecurity Director of Sophos. Dharma’s extortion virus-as-a-service offering expands the range of individuals who can carry out devastating extortion virus attacks. This would be a matter of serious concern even under normal circumstances. Now, however, the threat posed by such attacks poses a much greater risk, as many companies have adapted to telecommuting to quickly support telecommuting while IT staff are overburdened.

The unforeseen situation, which required the provision and access of remote workforce, made the infrastructure and assets of smaller companies vulnerable and prevented IT support staff from properly monitoring and managing systems as they would normally do. ”

That’s how he attacks

As reported in the Sophos report, as soon as partners using Dharma have purchased the tools and started attacking their target, they rely almost entirely on a menu-based Powershell script. This installs and launches the components needed to spread the extortion virus on the victim’s network. When the master script is run, it identifies itself as a “Toolbox,” a “Toolbox,” and launches the attack with the message, “Have fun, dude!”.

The attack process relies heavily on the use of freeware versions of open source tools or commercial software. Decrypting encrypted files is a surprisingly complex, two-step process. Victims who contact “partners” to obtain recovery keys are first given a tool that retrieves the details of all their encrypted files. The “partners” then share this extracted data with the extortionist service operators, who provide a decryption key for the files as a second step. How effective this process is for victims in terms of data recovery depends, according to the research, largely on the abilities and mood of the “partners”. For example, Sophos has in some cases found that

“With the many multi-million dollar ransom claims popping up in the headlines, high-ranking targets and advanced attackers like WastedLocker, it’s easy to forget that Dharma-like threats are also alive and well. These tools allow a completely different layer of digital criminals to attack multiple smaller targets at once and amass a smaller fortune with the occasional $ 8,000. ” Gallagher said.[:hu]A Dharma már 2016 óta ismert és az egyik legjobban profitáló zsarolóvírus család a tömeges piaci terjesztésre szánt, szolgáltatásalapú kereskedelmi modelljének köszönhetően. A forráskódjának számos iterációját jelentették meg online vagy árulták, így a kódjának jelenleg sok változata létezik.

A Dharma RaaS támadások fő célpontjai a kisvállalkozások. A 2020-ban látott támadások 85 százaléka olyan sebezhető hozzáférést biztosító eszközökre fókuszált, mint például a Remote Desktop Protocol (távoli asztal, RDP).  A Dharma váltságdíjai általában egészen alacsonyak voltak: a követelt összeg átlagosan 8620 dollár volt.

A Dharma a zsarolóvírusok gyorséttermi lánca: széles körben és könnyen elérhető szinte bárki számára – mondta Szappanos Gábor, a Sophos kiberbiztonsági igazgatója. A Dharma zsarolóvírus-as-a-service kínálata kibővíti azon személyek körét, akik pusztító erejű zsarolóvírus támadásokat vihetnek végbe. Ez már a rendes körülmények között is komoly aggodalomra adna okot. Most azonban az ilyen támadásokból származó fenyegetés sokkal nagyobb kockázatot jelent, hiszen számos cég a járvány okozta körülményekhez adaptálódva a távmunka gyors támogatását vezette be, miközben az IT személyzet túl van terhelve.

A váratlan helyzet, amelynek keretében a távoli munkaerő felszerelését és hozzáférését biztosítani kellett, a kisebb cégek infrastruktúráját és eszközeit sebezhetővé tette, az IT támogató személyzetet pedig akadályozza abban, hogy megfelelő módon figyelje meg és menedzselje a rendszereket, mint azt ahogy normális esetben tenné.”

Így támad

Ahogy az a Sophos jelentésben szerepel, amint a Dharma-t felhasználó partnerek megvásárolták az eszközöket és megkezdték a célpontjuk elleni támadásukat, szinte teljes mértékben egy menü alapú Powershell scriptre támaszkodnak. Ez telepíti és elindítja azokat a komponenseket, amelyek szükségesek a zsarolóvírus terjesztésére az áldozat hálózatán. Amikor a master script futtatásra kerül, “Toolbox”-ként, “Eszköztár”-ként azonosítja magát és a támadást azzal az üzenettel indítja, hogy “Jó szórakozást, haver!”.

A támadás folyamata nagyban támaszkodik a nyílt forráskódú eszközök, illetve kereskedelmi szoftverek freeware verzióinak használatára. A titkosított fájlok dekódolása egy meglepően összetett, kétlépcsős folyamat. Azok az áldozatok, akik felveszik a kapcsolatot a “partnerekkel” a helyreállító kulcsok megszerzése érdekében, első lépésként egy olyan eszközt kapnak, amely kinyeri az összes titkosított fájljuk részleteit. A “partnerek” ekkor megosztják ezeket a kinyert adatokat a zsarolóvírus szolgáltatás üzemeltetőivel, akik a második lépésként biztosítanak egy dekódoló kulcsot a fájlokhoz. Hogy ez a folyamat mennyire hatékony az áldozatok számára az adatok visszaállítása szempontjából, a kutatás szerint nagyban múlik a “partnerek” képességein és hangulatán. A Sophos például bizonyos esetekben azt tapasztalta, hogy a “partnerek” visszatartottak néhány kulcsot, hogy további váltságdíj követelésekhez használják fel őket.

“A főcímekben felbukkanó számos multimillió dolláros váltságdíj követelés, magasrangú célpont és a WastedLockerhez hasonló fejlett támadók miatt könnyű elfeledkezni arról, hogy a Dharma jellegű fenyegetések is élnek és virulnak. Ezen eszközök lehetővé teszik egy teljesen eltérő digitális bűnözőréteg számára, hogy egyszerre több kisebb célpontot támadjanak meg és az alkalmankénti 8000 dollárokkal egy kisebb vagyont gyűjtsenek össze.” mondta Gallagher.[:]

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.