Hvad er Dharma Ransomware og hvordan man beskytter sig mod det?
Ligesom de fleste andre ransomware-mærker,Dharmasynes at komme fra Rusland
Desværre er der ikke meget kendt om gruppen, der producerede denne ransomware. Alligevel har den i øjeblikket tre separate systemer i omløb, som hver har flere varianter, der går under forskellige navne. Det gamle system i denne familie kaldes Crysis . Det blev først udgivet i februar 2016. Dharma er den anden i serien, udgivet i juli 2018, og Phobos bringer op bagsiden, frigives i september 2019.
De tre familiemedlemmer er svære at skelne, fordi de deler meget kode. Typisk kan anti-malware-systemer ikke skelne mellem dem og markerer ofte Dharma som Crysis. Situationen kompliceres yderligere af et stort antal varianter af hver.
Lidt er kendt om hackergruppen bag Dharma. Koden til en variant af Dharma var dog sat til salg i marts 2020 på et russisksproget mørkt websted til $2.000. Dette var en mager pris, da den laveste løsesum for Dharma-løsesum var $1.500, hvor gennemsnittet pr. angreb i december 2019 var $8.620. Analytikere bekræfter dog, at det var den ægte kode til ransomwaren.
Kodesalget til Dharma ransomware kunne markere skabernes beslutning om at stoppe med at bruge systemet til fordel for dets efterfølger, Phobos. Imidlertid betyder det betydelige fællestræk mellem de to ransomware-systemer, at frigivelse af koden til Dharma potentielt udsatte Phobos . Crysis, Dharma og Phobos er alle stadig i drift samtidigt. Det vides dog ikke, om de alle stadig er kontrolleret af de samme personer. Det er også uklart, om udviklerne eller en utilfreds medarbejder foretog kodesalget.
Dharma Ransomware-as-a-Service
Selvom det er svært at kende forskel på driftskoden for de tre Crysis-gruppemedlemmer, er der forskellige strategiske forskelle. For eksempel, Crysis bruger en inficeret vedhæftet fil på en phishing-e-mail. Dharma og Phobos bruge RDP til at komme ind på mål, men der er forskel på dem – Dharma er en Ransomware-as-a-Service platform, men Phobos er en udvikler-ejet privat angrebspakke.
Ransomware-as-a-Service (RaaS) er inspireret af cloud-pakkeformatet, Software-as-a-Service (SaaS). I RaaS-scenariet oprettede udviklerne en kundeportal på sin vært til Dharma-softwaren. Derudover præsenterer systemet Dharma som en værktøjskasse. Dette appellerer til ensomme hackere eller grupper, der stadig lærer rebet og ikke har interne programmeringsevner.
Dharma ransomware kit-brugere har muligheder - det er ikke en fast tjeneste, men det tilbyder variationer på et angreb. Vejen ind i et system er gennem Remote Desktop Protocol (RDP). Dharma-systemet er en koordinator for en række af hyldevare-systemværktøjer. Fordelen ved at bruge velkendte legitime softwaresystemer til et angreb er, at AV-systemer bør ignorere dem som ægte aktivitet. Imidlertid, antimalware er uddannet til i stedet at søge det koordinerende program.
Det faktum, at Dharma ransomware-angreb ikke alle er lanceret af de samme personer, betyder, at angreb kan forekomme forskelligt. For eksempel kan den lejende hacker manuelt gå ind i et system og kopiere installationsprogrammet, indlæse en kendt IP-adresse i portalen og lade platformen starte angrebet, eller indlæse en liste over IP-adresser og se tjenesten levere ransomwaren til mange mål.
Fordelen ved opdeling af opgaver af hacking med Dharma betyder, at udviklerne afskaffer den besværlige opgave med at undersøge mål. Brugen af mange angribere som partnere øger også omsætningen af ransomware. Angriberen og Crysis-gruppen deler udbyttet af et angreb.
Remote Desktop Protocol
Microsoft skabte Remote Desktop Protocol (RDP), og den er integreret i Windows . Det betyder atDharma er specielt designet til at angribe computere, der har Windows-operativsystemet.
RDP er en kommunikationsprotokol, og det gør det muligt for nogen at oprette forbindelse til en enhed og se dens skrivebord, så fjerncomputeren kan bruges, som om den er lokal. Dette er især nyttigt for medarbejdere, der ofte er ude i marken, såsom sælgere eller konsulenter. Det er dog også meget brugt til at betjene fjernarbejdende arbejdere.
RDP-protokollen forbinder til TCP-port 3389 . Derfor skal administratoren i drift aktivere RDP på værtscomputeren. Dette starter et modtagende program op, der går i løkker konstant og overvåger for indgående forbindelsesanmodninger med portnummeret 3389 på dem.
Der er sikkerhedsmuligheder ledig. Administratoren kan oprette en adgangskode, som skal indtastes af fjernbrugeren, før adgangen kan fortsætte. Desværre mange administratorer gider ikke med denne funktion. Brugeren vil stadig blive bedt om en adgangskode, men kommer ind ved blot at trykke på enter. Denne usikre opsætning er præcis, hvad Dharma ransomware leder efter.
Dharma ransomware kan nemt blokeres bare ved indstille en adgangskode for RDP-adgang. Adgangskodebeskyttelse skal dog aktiveres, men adgangskoden skal være kompleks og ikke let at gætte.
Automatiserede Dharma ransomware-angreb vil bare droppe arbejdsgangen, hvis den støder på et adgangskodekrav. Dog manuelt drevne angreb behøver ikke stoppe der. Hackeren kan prøve en række almindeligt anvendte adgangskoder eller narre en af målcomputerbrugerne til at afsløre adgangskoden.
Et Dharma ransomware-angreb
Variationerne på et Dharma ransomware-angreb fokuserer hovedsageligt på adgangsmetoden. Når først installationsprogrammet til ransomware er på målcomputeren, fortsætter et angreb på samme måde.
Systemet bruger Mimikatz , den lokale Windows-brugermanager, NirSoft Remote Desktop PassView , LaZagne , og Hash Suite Tools Free Edition for at forsøge at identificere brugerkonti og deres adgangskoder. Den bruger så PC Hunter systemdiagnoseværktøj, GMER rootkit detektor , og IOBit Unlocker at identificere processer, der besidder filer og dræber dem for at gøre disse filer tilgængelige for kryptering. Endelig bruger den Revo Uninstaller og IOBit Uninstaller at fjerne software, der udgør en trussel mod ransomware.
Alle disse standardsoftwarepakker køres af et PowerShell-script. Ransomware-pakken inkluderer også PowerShell-scripts, der administrerer malwarebeskyttelse og persistens. De identificerer AV-processer og dræber dem, og pakker også ud og udfører derefter ransomwaren.
Systemet bruger det oprindelige Microsoft RDP-klient og Avanceret IP-scanner at identificere og kontakte andre computere på netværket.
Usædvanligt, for at sætte al softwaren til Dharma ransomware på plads, lukker RaaS-platformen målcomputeren ned og genstarter den, bringer et skærmskab frem med ClearLock , fryser brugere ud og overdrager kontrollen til platformen for den sidste fase af angrebet. På dette tidspunkt har hackeren også mulighed for at sætte angrebet på pause og bevæge sig rundt i offerets system for at udforske filer og stjæle data.
Platformen pakker malware ud og forsøger at starte krypteringssystemet med et opdaget brugernavn og adgangskode. Hvis det mislykkes, beder systemet hackeren om at genstarte processen manuelt med forskellige målcomputerbrugeroplysninger.
Hvad er Dharma-krypteringssystemet?
Dharma AES-chiffer med en 256-bit nøgle til at kryptere filer. Nøglen oprettes på den angrebne computer. Ransomware genererer også et unikt ID for angrebet. ID'et og AES-nøglen er derefter bundtet med RSA-kryptering ved hjælp af en 1048-bit nøgle. Dette beskytter overførslen af nøglen til kommando-og-kontrol server (C&C).
Systemet omdøber hver fil, efter at den er blevet krypteret. Denne omdøbningsproces mærker ekstra udvidelser på det originale filnavn. Formatet for dette er:
Den endelige .dharma-udvidelse kan være forskellig afhængig af den variant, der er i drift – der er omkring 200 varianter i omløb.
Når alle arbejdsfilerne er blevet krypteret, genererer systemet to løsesumsedler. Den ene er i almindelig tekst og efterlades på harddisken; den anden er inde AHT format og åbnes til visning. Dette giver offeret instruktioner om, hvordan han skal fortsætte.
Instruktionsdisplay angrebs-id'et og bed offeret bruge dette i korrespondance. Noten giver også en e-mail-adresse til kontakt, som er den samme e-mailadresse, der er tagget i slutningen af navnet for hver krypteret fil.
Angriberen sender offeret tilbage et værktøj der genererer en liste over krypterede filer og sender den tilbage til hackeren. Offeret skal derefter sørge for betaling. Affiliate indsender listen over filer gennem RaaS-portalen sammen med en Bitcoin-betaling , som repræsenterer en andel af løsesummen. Hermed vender RaaS'en tilbage et dekrypteringsværktøj med dekrypteringsnøglen til RSA-krypteringen. Når dekrypteringsværktøjet kører på offerets computer, vil det finde den krypterede AES-nøgle, dekryptere den og derefter læse den ind for at udføre dekryptering af alle filer.
Beskyttelse mod Dharma ransomware
Du kan undgå at betale løsesummen, hvis du har sikkerhedskopier af alle dine arbejdsfiler. Det er dog også nødvendigt at beskytte backup-butikker ikke at blive brudt ind af hackere. En nem måde at beskytte systemer mod et Dharma ransomware-indbrud er at beskytte alle RDP-porte med adgangskode og etablere sikker VPN-adgang for fjernarbejdere. Der er dog altid faren for, at en Dharma ransomware-partner kan narre denne adgangskode ud af brugeren gennem phishing-e-mails.
Du skal beskytte dine brugerenheder med endepunktdetektion og respons systemer, der opdager mistænkelig aktivitet og isolerer det endepunkt, før ransomwaren kan spredes. Det er også en god idé at få ekstra beskyttelse af følsomme data.
Her er tre systemsikkerhedspakker, som du bør overveje:
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight kombinerer slutpunktsdetektering og respons med skybaseret trusselsjagt og en trusselsintelligens-feed. Hver enhed har en agent installeret på den. Denne software er også tilgængelig som en selvstændig pakke, kaldet Falcon Prevent . EDR-modulet scanner for unormal aktivitet, så det vil opdage de PowerShell-scripts, der implementerer meget af opsætningen involveret i et Dharma ransomware-angreb.
EDR kan suspendere brugerkonti, blokere kommunikation med mistænkelige IP-adresser og isolere computeren fra netværket. Denne kombination af handlinger ville lukke ned et Dharma-angreb. Når truslen er mindre øjeblikkelig, kan tjenesten identificere og fjerne Dharma-komponenter. I mellemtiden koordinerer trusselsefterretningssystemet tjek med alle endepunkter i designet og ser ud for advarsler om ny malware, inklusive andre ransomware-trusler.
CrowdStrike Prevent er tilgængelig for en15 dages gratis prøveperiode.
CrowdStrike Prevent Start 15-dages GRATIS prøveperiode
3. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus beskytter følsomme data og bør implementeres af følgende virksomheder GDPR , HIPAA , PCI DSS eller andre databeskyttelsesstandarder.
Denne pakke inkluderer et opdagelsesmodul der identificerer og kategoriserer følsomme data sot4res. Det beskytter derefter alle filer med en filintegritetsmonitor, som ville opdage starten af krypteringsprocessen og blokere Dharma eller andre ransomware-systemer.
ManageEngine DataSecurity Plus kører videre Windows Server, og den er tilgængelig for en 30-dages gratis prøveperiode .
3. BitDefender GravityZone
BitDefender GravityZone indeholder et sæt værktøjer til at beskytte dit system mod enhver form for malwareangreb, inklusive Dharma ransomware. GravityZone-pakken inkluderer endepunktdetektion og respons (EDR) for at opdage unormal adfærd og isolere enheden, før en infektion kan spredes. Det inkluderer også sårbarhedsscanning, som vil identificere åbne eller usikre porte . Derudover er hans tjeneste knyttet til en patch manager , som holder OS'er og software opdateret. Der er også en konfigurationsmanager og en overvågning af filintegritet i pakken.
Vitale værktøjer i GravityZone-systemet til at beskytte mod Dharma ransomware er en backup-manager og multi-point malware-scanning. GravityZone-systemet scanner alle filer flere gange. Samt beskytte dem mod uautoriserede ændringer med filintegritetsmonitoren, scanner den dem for tegn på infektion, før de uploades til backup server .
BitDefender GravityZone kører på en hypervisor som et virtuelt apparat, og den er tilgængelig for en måneds gratis prøveperiode .