Dharma: O Ransomware-as-a-Service
O Dharma continua a ser uma ameaça para muitas empresas, especialmente pequenas e médias empresas (SMBs). As variantes do ransomware lançaram as bases para a franquia de fast-food do crime cibernético – Ransomware-as-a-Service (RaaS).
O que há com Dharma?
- Identificado pela primeira vez em 2016, o Dharma hoje tem várias variantes devido à venda e alteração de seu código-fonte por vários desenvolvedores de malware. Além disso, ele se tornou o núcleo do ambiente do cibercriminoso devido à sua disponibilidade.
- Os fornecedores Dharma RaaS fornecem a experiência técnica necessária para lidar com as operações de back-end que suportam ataques de ransomware. Seus afiliados – criminosos cibernéticos básicos – comprometem um alvo executando o script do PowerShell, que inicia o ataque com uma mensagem, “Divirta-se, mano!”
Ferramentas do comércio
- De acordo com a Sophos, os agentes de ameaças que utilizam o Dharma RaaS são equipados com scripts pré-construídos e ferramentas de chapéu cinza que requerem menos habilidade para operar. Este kit de ferramentas pré-embalado, combinado com suporte técnico de back-end, amplia o alcance das operadoras Dharma RaaS, tornando-as lucrativas enquanto suas afiliadas realizam funções práticas no teclado para violar redes.
- Nas operações Dharma, uma combinação de software freeware licenciado de terceiros, exploits publicamente disponíveis, ferramentas internas do Windows e ferramentas de segurança comumente usadas, integrados por meio de AutoIT, PowerShell e scripts em lote sob medida.
- A maioria dos operadores de Dharma não modifica o código-fonte. No entanto, eles combinam as melhores práticas e várias ferramentas – não totalmente automatizadas – para que suas afiliadas as aproveitem assim que entrarem na rede da vítima.
Tem mais
- Enquanto os afiliados pagam pelo RaaS e executam eles próprios ataques direcionados, utilizando um kit de ferramentas padrão, outros agentes de ameaças oferecem credenciais e ferramentas roubadas em fóruns clandestinos que permitem ataques RDP. De acordo com um relatório da Coveware, os ataques do Remote Desktop Protocol (RDP) são a causa predominante de cerca de 85% dos ataques Dharma.
- Depois de obter uma conexão RDP, os hackers desenham um diretório em sua unidade local, que pode ser acessado na área de trabalho remota. Os componentes do diretório que constituem o kit de ferramentas RaaS incluem vários aplicativos indesejados, ferramentas de hacking personalizadas e diferentes utilitários de sistema freeware.
Ao ar livre
- O Dharma recentemente chamou a atenção de especialistas em segurança quando hackers novatos iranianos tentaram criptografar as redes de empresas-alvo localizadas na Rússia, China, Japão e Índia com uma versão do ransomware Dharma. Alegadamente, o grupo utilizou ferramentas de hacking publicamente disponíveis baixadas dos canais de hacking do Telegram ou GitHub.
- No início deste ano, em fevereiro, os agentes de ameaças distribuíram o Dharma Ransomware em uma campanha de spam destinada a usuários do Windows na Itália. Os e-mails de spam da campanha usaram temas como “Fattura n. 637 del 14.01.20 ”, fingindo receber faturas.
Final word
A proficiência com que os atacantes do Dharma estão efetivamente espalhando ransomware nas redes das vítimas exemplifica os riscos apresentados pelas técnicas greyhat, bem como por ferramentas administrativas indesejadas e pelas ameaças associadas a servidores RDP inseguros. A maioria dos ataques Dharma pode ser atenuada corrigindo e protegendo servidores RDP com autenticação multifator. Além disso, as organizações precisam estar atentas ao roubo de credenciais e ao acesso concedido a fornecedores terceirizados.
Fonte: https://cyware.com/news/analyzing-dharma-ransomware-as-a-service-9bed152a
