Какво е Dharma рансъмуер и как да се защитим от него?
Подобно на повечето други марки рансъмуер,Дхармаизглежда идва от Русия
За съжаление не се знае много за групата, произвела този рансъмуер. Все пак, в момента има три отделни системи в обращение, всяка от които има няколко варианта, които вървят под различни имена. Старата система в това семейство се нарича криза . Това беше пуснато за първи път през февруари 2016 г. Дхарма е вторият от поредицата, пуснат през юли 2018 г. и Фобос излиза на пазара през септември 2019 г.
Тримата членове на семейството са трудни за разграничаване, защото споделят много код. Обикновено системите против зловреден софтуер не могат да ги разграничат, като често маркират Dharma като Crysis. Ситуацията се усложнява допълнително от голям брой варианти от всеки.
Малко се знае за хакерската група зад Dharma. Въпреки това, кодът за вариант на Дхарма беше пуснат за продажба през март 2020 г. на рускоезичен тъмен уеб сайт за $2000. Това беше нищожна цена, като се има предвид, че най-ниският откуп за откупа на Дхарма беше 1500 долара, като средната стойност на атака през декември 2019 г. беше 8620 долара. Въпреки това анализаторите потвърждават, че това е бил истинският код за рансъмуера.
Продажбата на код за Dharma ransomware може да отбележи решението на създателите да спрат да използват системата в полза на нейния наследник, Phobos. Въпреки това, значителната прилика между двете системи за рансъмуер означава, че пускането на кода за Dharma потенциално разкри Фобос . Crysis, Dharma и Phobos са всички все още действащ едновременно. Не е известно обаче дали всички те все още се контролират от едни и същи хора. Също така не е ясно дали разработчиците или недоволен сътрудник са направили продажбата на кода.
Dharma Ransomware-като-услуга
Въпреки че е трудно да се направи разлика между операционния код на трите членове на групата Crysis, има отличителни стратегически разлики. Например, криза използва заразен прикачен файл към фишинг имейл. Дхарма и Фобос използвайте RDP, за да стигнете до цели, но има разлика между тях – Dharma е a Ransomware-като-услуга платформа, но Phobos е частен пакет за атака, собственост на разработчиците.
Ransomware-като-услуга (RaaS) е вдъхновен от облачния пакетен формат, Софтуер като услуга (SaaS). В сценария RaaS разработчиците създадоха клиентски портал на своя хост за софтуера Dharma. Освен това системата представя Дхарма като набор от инструменти. Това е привлекателно за самотни хакери или групи, които все още учат въжетата и нямат собствени умения за програмиране.
Потребителите на Dharma ransomware kit имат опции – това не е фиксирана услуга, но предлага варианти на атака. Пътят към системата е през Протокол за отдалечен работен плот (RDP). Системата Dharma е координатор за поредица от готови системни помощни програми. Ползата от използването на добре известни законни софтуерни системи за атака е, че AV системите трябва да ги игнорират като истинска дейност. Въпреки това, антизловреден софтуер вместо това е обучен да търси координиращата програма.
Фактът, че Dharma ransomware атаките не се стартират от едни и същи хора означава, че атаките могат да се появят по различен начин. Например, наемащият хакер може ръчно да влезе в система и да копира инсталатора, да въведе известен IP адрес в портала и да остави платформата да стартира атаката или да зареди списък с IP адреси и да гледа как услугата доставя рансъмуера на много цели.
Ползата от разделяне на задълженията на хакване с Dharma означава, че разработчиците са се отказали от трудоемката задача за изследване на цели. Използването на много нападатели като сътрудници също увеличава оборота на ransomware. Нападателят и групата Crysis споделят приходите от атака.
Протоколът за отдалечен работен плот
Microsoft създаде протокола за отдалечен работен плот (RDP) и той е интегриран в Windows . Това означава, чеDharma е специално проектирана да атакува компютри с операционна система Windows.
RDP е комуникационен протокол, и позволява на някой да се свърже с устройство и да види неговия работен плот, така че отдалеченият компютър може да се използва като локален. Това е особено полезно за служители, които често са на терен, като търговски персонал или консултанти. Въпреки това, той също се използва широко за обслужване на работници, работещи от разстояние.
Протоколът RDP се свързва към TCP порт 3389 . Следователно по време на работа администраторът трябва да активира RDP на хост компютъра. Това стартира получаваща програма, която непрекъснато се зацикля, следейки за входящи заявки за връзка с номер на порт 3389 върху тях.
Има опции за сигурност на разположение. Администраторът може да зададе парола, която трябва да бъде въведена от отдалечения потребител, преди достъпът да може да продължи. За съжаление много администратори не се притеснявай с тази функция. Потребителят все още ще бъде подканен за парола, но ще влезе само с натискане на enter. Тази несигурна настройка е точно това, което Dharma ransomware търси.
Рансъмуерът Dharma може лесно да бъде блокиран само от задаване на парола за RDP достъп. Защитата с парола обаче трябва да бъде активирана, но паролата трябва да е сложна и да не е лесна за отгатване.
Автоматизираните Dharma ransomware атаки просто ще прекъснат работния процес, ако срещне изискване за парола. Въпреки това, ръчно управлявани атаки не е нужно да спирате дотук. Хакерът може да изпробва серия от често използвани пароли или да подмами някой от целевите компютърни потребители да разкрие паролата.
Dharma ransomware атака
Вариациите на Dharma ransomware атака се фокусират главно върху метода на достъп. След като инсталаторът за ransomware е на целевия компютър, атаката продължава по същия начин.
Системата използва Мимикац , локален потребителски мениджър на Windows, NirSoft Remote Desktop PassView , Лазан , и Безплатно издание на Hash Suite Tools за да се опитате да идентифицирате потребителски акаунти и техните пароли. След това използва PC Hunter инструмент за системна диагностика, GMER руткит детектор , и IOBit Unlocker за идентифициране на процеси, които притежават файлове и ги убива, за да направи тези файлове достъпни за криптиране. Накрая използва Revo Uninstaller и Програма за деинсталиране на IOBit за премахване на софтуер, който представлява заплаха за рансъмуера.
Всички тези стандартни софтуерни пакети се изпълняват от PowerShell скрипт. Пакетът за рансъмуер също така включва PowerShell скриптове, които управляват защитата и устойчивостта на зловреден софтуер. Те идентифицират AV процеси и ги убиват, а също така разопаковат и след това изпълняват рансъмуера.
Системата използва родния Microsoft RDP клиент и Разширен IP скенер за идентифициране и свързване с други компютри в мрежата.
Необичайно е, че за да постави целия софтуер за Dharma рансъмуер на място, платформата RaaS изключва целевия компютър и го рестартира, показвайки екранно заключване с ClearLock , замразяване на потребителите и предаване на контрола на платформата за последната фаза на атаката. В този момент хакерът също има възможност да спре атаката на пауза и да се движи в системата на жертвата, за да изследва файлове и да краде данни.
Платформата разопакова зловреден софтуер и се опитва да стартира системата за криптиране с открито потребителско име и парола. Ако това не успее, системата подканва хакера да рестартира процеса ръчно с различни идентификационни данни на целевия компютър.
Какво представлява системата за криптиране Dharma?
Дхарма AES шифър с 256-битов ключ за криптиране на файлове. Ключът се създава на атакувания компютър. Рансъмуерът също генерира уникален идентификатор за атаката. Идентификационният номер и AES ключът след това се пакетират с RSA криптиране използвайки 1048-битов ключ. Това предпазва предаването на ключа към командно-контролен сървър (C&C).
Системата преименува всеки файл, след като е бил шифрован. Този процес на преименуване маркира допълнителни разширения към оригиналното име на файл. Форматът за това е:
Това окончателно разширение .dharma може да бъде различно в зависимост от варианта, който е в действие – има около 200 варианта в обращение.
След като всички работни файлове са криптирани, системата генерира две бележки за откуп. Единият е в обикновен текст и е оставен на твърдия диск; вторият е вътре AHT формат и се отваря за показване. Това дава на жертвата инструкции как да продължи.
Дисплей с инструкции ID на атаката и кажете на жертвата да използва това в кореспонденцията. Бележката също така дава имейл адрес за връзка, който е същият имейл адрес, маркиран в края на името за всеки шифрован файл.
Нападателят връща жертвата обратно инструмент който генерира списък с криптирани файлове и го изпраща обратно на хакера. След това жертвата трябва да организира плащането. Партньорът изпраща списъка с файлове през портала RaaS, заедно с биткойн плащане , което представлява дял от откупа. С това RaaS се завръща инструмент за дешифриране с ключа за дешифриране за RSA криптиране. Когато инструментът за декриптиране работи на компютъра на жертвата, той ще намери шифрования AES ключ, ще го декриптира и след това ще го прочете, за да извърши дешифрирането на всички файлове.
Защита срещу Dharma ransomware
Можете да избегнете плащането на откупа, ако имате резервни копия на всичките си работни файлове. Необходимо е обаче и да се защита на резервните хранилища да не бъдете разбити от хакери. Лесен начин за защита на системите срещу проникване на Dharma ransomware е да защитите с парола всички RDP портове и да създадете защитен VPN достъп за отдалечени работници. Въпреки това винаги съществува опасност партньор на Dharma ransomware да измами тази парола от потребителя чрез фишинг имейли.
Трябва да защитите потребителските си устройства с откриване и реакция на крайна точка системи, които забелязват подозрителна дейност и изолират тази крайна точка, преди рансъмуерът да може да се разпространи. Също така е добра идея да получите допълнителна защита за чувствителни данни.
Ето три пакета за сигурност на системата, които трябва да имате предвид:
1. CrowdStrike Falcon Insight (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
CrowdStrike Falcon Insight съчетава откриване на крайни точки и реакция с базирано в облака търсене на заплахи и емисия за разузнаване на заплахи. На всяко устройство има инсталиран агент. Този софтуер се предлага и като самостоятелен пакет, наречен Falcon Prevent . Модулът EDR сканира за необичайна активност, така че ще забележи тези PowerShell скриптове, които изпълняват голяма част от настройката, включена в Dharma ransomware атака.
EDR може да спре потребителски акаунти, да блокира комуникацията с подозрителни IP адреси и да изолира компютъра от мрежата. Тази комбинация от действия би изключвам атака на Дхарма. След като заплахата е по-малко непосредствена, услугата може да идентифицира и премахне компонентите на Dharma. Междувременно системата за разузнаване на заплахите координира проверките с всички крайни точки в дизайна и следи за предупреждения за нов зловреден софтуер, включително други заплахи за ransomware.
CrowdStrike Prevent се предлага за a15-дневен безплатен пробен период.
CrowdStrike Prevent Стартирайте 15-дневен БЕЗПЛАТЕН пробен период
3. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus защитава чувствителните данни и следва да се внедри от фирмите GDPR , HIPAA , PCI DSS , или други стандарти за поверителност на данните.
Този пакет включва модул за откриване който идентифицира и категоризира чувствителните данни sot4res. След това защитава всички файлове с монитор за целостта на файловете, който ще забележи началото на процеса на криптиране и ще блокира Dharma или други системи за рансъмуер.
ManageEngine DataSecurity Plus работи на Windows сървър, и е наличен за 30-дневен безплатен пробен период .
3. BitDefender GravityZone
BitDefender GravityZone включва набор от инструменти за защита на вашата система срещу всякакъв вид злонамерен софтуер, включително Dharma ransomware. Пакетът GravityZone включва откриване и реакция на крайна точка (EDR), за да забележите аномално поведение и да изолирате устройството, преди инфекцията да се разпространи. Той също така включва сканиране на уязвимости, което ще идентифицира отворени или несигурни портове . Освен това службата му е свързана с a мениджър на корекции , който поддържа операционните системи и софтуера актуални. Има и a конфигурационен мениджър и а монитор за целостта на файла в опаковката.
Важни инструменти в системата GravityZone за защита срещу Dharma ransomware са резервен мениджър и многоточково сканиране за зловреден софтуер. Системата GravityZone сканира всички файлове няколко пъти. Както и да ги предпазва от неоторизирани промени с монитора за целостта на файловете, той ще ги сканира за признаци на инфекция, преди да ги качи в резервен сървър .
BitDefender GravityZone работи на хипервайзор като виртуален уред, и е наличен за едномесечен безплатен пробен период .
