Was ist Dharma-Ransomware und wie schützt man sich davor?
Wie die meisten anderen Ransomware-Marken auchDharmascheint zu kommen Russland
Leider ist nicht viel über die Gruppe bekannt, die diese Ransomware entwickelt hat. Dennoch sind derzeit drei separate Systeme im Umlauf, von denen jedes mehrere Varianten mit unterschiedlichen Namen hat. Das alte System in dieser Familie heißt Crysis . Das wurde erstmals im Februar 2016 veröffentlicht. Dharma ist der zweite Teil der Serie, der im Juli 2018 veröffentlicht wurde Phobos bildet das Schlusslicht und erscheint im September 2019.
Die drei Familienmitglieder sind schwer zu unterscheiden, da sie viel Code gemeinsam haben. Normalerweise können Anti-Malware-Systeme nicht zwischen ihnen unterscheiden und kennzeichnen Dharma oft als Crysis. Die Situation wird durch eine Vielzahl von Faktoren noch komplizierter Varianten von jedem.
Über die Hackergruppe hinter Dharma ist wenig bekannt. Allerdings war der Code für eine Variante des Dharma zum Verkauf angeboten im März 2020 auf einer russischsprachigen Dark-Website für 2.000 US-Dollar. Dies war ein magerer Preis, wenn man bedenkt, dass das niedrigste Lösegeld für das Dharma-Lösegeld 1.500 US-Dollar betrug und der durchschnittliche Erlös pro Angriff im Dezember 2019 bei 8.620 US-Dollar lag. Analysten bestätigen jedoch, dass es sich um den echten Code der Ransomware handelte.
Der Code-Verkauf für die Dharma-Ransomware könnte die Entscheidung der Entwickler markieren, die Nutzung des Systems zugunsten seines Nachfolgers Phobos einzustellen. Die erhebliche Gemeinsamkeit zwischen den beiden Ransomware-Systemen bedeutet jedoch, dass möglicherweise der Code für Dharma veröffentlicht wird freigelegter Phobos . Crysis, Dharma und Phobos sind alle immer noch in Betrieb gleichzeitig. Es ist jedoch nicht bekannt, ob sie alle noch immer von denselben Leuten kontrolliert werden. Es ist auch unklar, ob der Codeverkauf von den Entwicklern oder einem verärgerten Mitarbeiter getätigt wurde.
Dharma Ransomware-as-a-Service
Obwohl es schwierig ist, den Unterschied zwischen den Betriebscodes der drei Mitglieder der Crysis-Gruppe zu erkennen, gibt es charakteristische strategische Unterschiede. Zum Beispiel, Crysis verwendet einen infizierten Anhang einer Phishing-E-Mail. Dharma Und Phobos Verwenden Sie RDP, um Ziele zu erreichen, aber es gibt einen Unterschied zwischen ihnen – Dharma ist ein Ransomware-as-a-Service Plattform, aber Phobos ist ein privates Angriffspaket im Besitz des Entwicklers.
Ransomware-as-a-Service (RaaS) ist vom Cloud-Paketformat inspiriert, Software-as-a-Service (SaaS). Im RaaS-Szenario erstellten die Entwickler auf ihrem Host ein Kundenportal für die Dharma-Software. Darüber hinaus präsentiert das System Dharma als Toolkit. Dies ist für einzelne Hacker oder Gruppen interessant, die sich noch nicht in die Materie einarbeiten und nicht über eigene Programmierkenntnisse verfügen.
Benutzer des Dharma-Ransomware-Kits haben Optionen: Es handelt sich nicht um einen festen Dienst, sondern um Variationen eines Angriffs. Der Weg in ein System führt über das Remotedesktopprotokoll (RDP). Das Dharma-System ist ein Koordinator für eine Reihe handelsüblicher Systemdienstprogramme. Der Vorteil der Verwendung bekanntermaßen legitimer Softwaresysteme für einen Angriff besteht darin, dass AV-Systeme diese als echte Aktivität ignorieren sollten. Jedoch, Antimalware ist darauf trainiert, stattdessen nach dem koordinierenden Programm zu suchen.
Die Tatsache, dass Dharma-Ransomware-Angriffe nicht alle von denselben Personen gestartet werden, bedeutet, dass Angriffe unterschiedlich ablaufen können. Der mietende Hacker kann beispielsweise manuell in ein System eindringen und das Installationsprogramm kopieren, eine bekannte IP-Adresse in das Portal eingeben und die Plattform den Angriff starten lassen oder eine Liste von IP-Adressen laden und zusehen, wie der Dienst die Ransomware ausliefert viele Ziele.
Der Vorteil von Aufteilung der Aufgaben Hacking mit Dharma bedeutet, dass den Entwicklern die mühsame Aufgabe der Zielrecherche erspart bleibt. Auch der Einsatz vieler Angreifer als Partner erhöht den Umsatz der Ransomware. Der Angreifer und die Crysis-Gruppe teilen sich den Erlös eines Angriffs.
Das Remotedesktopprotokoll
Microsoft hat das Remote Desktop Protocol (RDP) erstellt und es ist darin integriert Windows . Das bedeutet, dassDharma wurde speziell für den Angriff auf Computer mit dem Windows-Betriebssystem entwickelt.
RDP ist ein Kommunikationsprotokoll, und es ermöglicht jemandem, eine Verbindung zu einem Gerät herzustellen und dessen Desktop anzuzeigen, sodass der Remote-Computer so verwendet werden kann, als ob er lokal wäre. Dies ist besonders nützlich für Mitarbeiter, die häufig im Außendienst unterwegs sind, beispielsweise Vertriebsmitarbeiter oder Berater. Es wird jedoch auch häufig zur Unterstützung von Telearbeitskräften eingesetzt.
Das RDP-Protokoll stellt eine Verbindung her TCP-Port 3389 . Daher muss der Administrator im Betrieb RDP auf dem Host-Computer aktivieren. Dadurch wird ein Empfangsprogramm gestartet, das kontinuierlich in einer Schleife arbeitet und auf eingehende Verbindungsanfragen mit der Portnummer 3389 überwacht.
Es gibt Sicherheitsoptionen verfügbar. Der Administrator kann ein Passwort einrichten, das vom Remote-Benutzer eingegeben werden muss, bevor der Zugriff erfolgen kann. Leider viele Administratoren kümmere dich nicht darum mit dieser Funktion. Der Benutzer wird weiterhin zur Eingabe eines Passworts aufgefordert, kann aber durch einfaches Drücken der Eingabetaste darauf zugreifen. Dieses unsichere Setup ist genau das, wonach die Dharma-Ransomware sucht.
Die Dharma-Ransomware kann ganz einfach blockiert werden ein Passwort festlegen für RDP-Zugriff. Allerdings muss der Passwortschutz aktiviert sein, allerdings muss das Passwort komplex und nicht leicht zu erraten sein.
Automatisierte Dharma-Ransomware-Angriffe unterbrechen den Workflow einfach, wenn eine Passwortanforderung auftritt. Allerdings manuell gesteuerte Angriffe Ich muss hier nicht aufhören. Der Hacker kann eine Reihe häufig verwendeter Passwörter ausprobieren oder einen der Zielcomputerbenutzer dazu verleiten, das Passwort preiszugeben.
Ein Dharma-Ransomware-Angriff
Die Variationen eines Dharma-Ransomware-Angriffs konzentrieren sich hauptsächlich auf die Zugriffsmethode. Sobald sich das Installationsprogramm für die Ransomware auf dem Zielcomputer befindet, läuft ein Angriff auf die gleiche Weise ab.
Das System verwendet Mimikatz , der lokale Windows-Benutzermanager, NirSoft Remote Desktop PassView , LaZagne , Und Kostenlose Hash Suite Tools-Edition zu versuchen, Benutzerkonten und deren Passwörter zu identifizieren. Es verwendet dann die PC-Jäger Systemdiagnosetool, GMER-Rootkit-Detektor , Und IOBit Unlocker um Prozesse zu identifizieren, die Dateien besitzen, und beendet sie, um diese Dateien für die Verschlüsselung verfügbar zu machen. Schließlich nutzt es Revo-Deinstallationsprogramm Und IOBit-Deinstallationsprogramm um Software zu entfernen, die eine Bedrohung für die Ransomware darstellt.
Alle diese Standardsoftwarepakete werden von einem PowerShell-Skript ausgeführt. Das Ransomware-Paket enthält auch PowerShell-Skripte, die den Schutz und die Persistenz von Malware verwalten. Sie identifizieren AV-Prozesse und töten sie, entpacken die Ransomware und führen sie dann aus.
Das System verwendet die native Microsoft RDP-Client Und Erweiterter IP-Scanner um andere Computer im Netzwerk zu identifizieren und zu kontaktieren.
Um die gesamte Software für die Dharma-Ransomware zu installieren, fährt die RaaS-Plattform ungewöhnlicherweise den Zielcomputer herunter, startet ihn neu und öffnet einen Bildschirm ClearLock , das Einfrieren von Benutzern und die Übergabe der Kontrolle an die Plattform für die letzte Phase des Angriffs. Zu diesem Zeitpunkt hat der Hacker auch die Möglichkeit, den Angriff zu unterbrechen und sich im System des Opfers zu bewegen, um Dateien zu durchsuchen und Daten zu stehlen.
Die Platform entpackt die Schadsoftware und versucht, das Verschlüsselungssystem mit einem erkannten Benutzernamen und Passwort zu starten. Wenn dies fehlschlägt, fordert das System den Hacker auf, den Prozess manuell mit anderen Benutzeranmeldeinformationen für den Zielcomputer neu zu starten.
Was ist das Dharma-Verschlüsselungssystem?
Dharma der AES-Verschlüsselung mit einem 256-Bit-Schlüssel zum Verschlüsseln von Dateien. Der Schlüssel wird auf dem angegriffenen Computer erstellt. Die Ransomware generiert außerdem eine eindeutige ID für den Angriff. Die ID und der AES-Schlüssel werden dann gebündelt mit RSA-Verschlüsselung mit einem 1048-Bit-Schlüssel. Dies schützt die Übertragung des Schlüssels an den Command-and-Control-Server (C&C).
Das System benennt jede Datei um, nachdem sie verschlüsselt wurde. Bei diesem Umbenennungsprozess werden dem ursprünglichen Dateinamen zusätzliche Erweiterungen hinzugefügt. Das Format hierfür ist:
Diese endgültige .dharma-Erweiterung kann je nach verwendeter Variante unterschiedlich sein – es sind etwa 200 Varianten im Umlauf.
Sobald alle Arbeitsdateien verschlüsselt wurden, generiert das System zwei Lösegeldforderungen. Einer ist im Klartext und verbleibt auf der Festplatte; der zweite ist drin AHT formatiert und zur Anzeige geöffnet. Dadurch erhält das Opfer Anweisungen zum weiteren Vorgehen.
Anleitungsanzeige die Angriffs-ID und fordern Sie das Opfer auf, dies in der Korrespondenz zu verwenden. In der Notiz wird auch eine E-Mail-Adresse angegeben, an die Sie sich wenden können. Dabei handelt es sich um dieselbe E-Mail-Adresse, die am Ende des Namens jeder verschlüsselten Datei angehängt ist.
Der Angreifer schickt das Opfer zurück ein Werkzeug Das generiert eine Liste verschlüsselter Dateien und sendet diese an den Hacker zurück. Das Opfer muss dann die Zahlung veranlassen. Der Partner übermittelt die Dateiliste zusammen mit über das RaaS-Portal eine Bitcoin-Zahlung , was einen Anteil des Lösegelds darstellt. Damit kehrt der RaaS zurück ein Entschlüsselungstool mit dem Entschlüsselungsschlüssel für die RSA-Verschlüsselung. Wenn das Entschlüsselungstool auf dem Computer des Opfers ausgeführt wird, findet es den verschlüsselten AES-Schlüssel, entschlüsselt ihn und liest ihn dann ein, um die Entschlüsselung aller Dateien durchzuführen.
Schutz vor Dharma-Ransomware
Sie können die Zahlung des Lösegelds vermeiden, wenn Sie über Sicherungskopien aller Ihrer Arbeitsdateien verfügen. Allerdings ist es auch notwendig Backup-Speicher schützen um nicht von Hackern gehackt zu werden. Eine einfache Möglichkeit, Systeme vor einem Dharma-Ransomware-Einbruch zu schützen, besteht darin, alle RDP-Ports mit einem Passwort zu schützen und einen sicheren VPN-Zugriff für Remote-Mitarbeiter einzurichten. Es besteht jedoch immer die Gefahr, dass ein Dharma-Ransomware-Partner dem Benutzer das Passwort durch Phishing-E-Mails entlocken könnte.
Sie müssen Ihre Benutzergeräte mit schützen Endpunkterkennung und -reaktion Systeme, die verdächtige Aktivitäten erkennen und diesen Endpunkt isolieren, bevor sich die Ransomware verbreiten kann. Es ist auch eine gute Idee, sensible Daten zusätzlich zu schützen.
Hier sind drei Systemsicherheitspakete, die Sie in Betracht ziehen sollten:
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight kombiniert Endpunkterkennung und -reaktion mit cloudbasierter Bedrohungssuche und einem Threat-Intelligence-Feed. Auf jedem Gerät ist ein Agent installiert. Diese Software ist auch als eigenständiges Paket namens verfügbar Falcon Prevent . Das EDR-Modul sucht nach ungewöhnlichen Aktivitäten, sodass es die PowerShell-Skripte erkennt, die einen Großteil der Setups implementieren, die mit einem Dharma-Ransomware-Angriff verbunden sind.
Der EDR kann Benutzerkonten sperren, die Kommunikation mit verdächtigen IP-Adressen blockieren und den Computer vom Netzwerk isolieren. Diese Kombination von Aktionen würde abschalten ein Dharma-Angriff. Sobald die Bedrohung weniger unmittelbar ist, kann der Dienst Dharma-Komponenten identifizieren und entfernen. In der Zwischenzeit koordiniert das Threat-Intelligence-System die Überprüfungen aller Endpunkte im Design und hält Ausschau nach Warnungen vor neuer Malware, einschließlich anderer Ransomware-Bedrohungen.
CrowdStrike Prevent ist für a verfügbar15-tägige kostenlose Testversion.
CrowdStrike Prevent starten Sie die 15-tägige KOSTENLOSE Testversion
3. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus schützt sensible Daten und sollte von folgenden Unternehmen eingesetzt werden DSGVO , HIPAA , PCI DSS oder andere Datenschutzstandards.
Dieses Paket beinhaltet ein Entdeckungsmodul Das identifiziert und kategorisiert sensible Daten sot4res. Anschließend werden alle Dateien mit einem Dateiintegritätsmonitor geschützt, der den Beginn des Verschlüsselungsprozesses erkennt und Dharma oder andere Ransomware-Systeme blockiert.
ManageEngine DataSecurity Plus läuft weiter Windows Server, und es ist verfügbar für eine 30-tägige kostenlose Testversion .
3. BitDefender GravityZone
BitDefender GravityZone enthält eine Reihe von Tools, um Ihr System vor jeder Art von Malware-Angriffen, einschließlich Dharma-Ransomware, zu schützen. Das GravityZone-Paket beinhaltet Endpunkterkennung und -reaktion (EDR), um anormales Verhalten zu erkennen und das Gerät zu isolieren, bevor sich eine Infektion ausbreiten kann. Es umfasst auch das Scannen von Schwachstellen, die diese identifizieren offene oder unsichere Ports . Darüber hinaus ist sein Dienst verbunden mit a Patch-Manager , wodurch Betriebssysteme und Software auf dem neuesten Stand bleiben. Da ist auch ein Konfigurationsmanager und ein Dateiintegritätsmonitor im Paket.
Wichtige Tools im GravityZone-System zum Schutz vor Dharma-Ransomware sind ein Backup-Manager und Multi-Point-Malware-Scanning. Das GravityZone-System scannt alle Dateien mehrmals. Sowie sie davor zu schützen unautorisierte Änderungen Mit dem Dateiintegritätsmonitor werden sie vor dem Hochladen auf Anzeichen einer Infektion gescannt Backup-Server .
BitDefender GravityZone läuft auf einem Hypervisor als eine virtuelle Appliance, und es ist verfügbar für eine einmonatige kostenlose Testversion .
