CrySIS/Dharma Ransomware IOCs

ransomware IOC

Семейство вымогательских программ CrySIS/Dharma существует уже несколько лет - по крайней мере, с 2016 года. Номинально оно работает по модели Ransomware-as-a-Service (RaaS). Однако следует также отметить, что, по крайней мере, для одной версии этой программы произошла утечка исходного кода, что позволило любому желающему приобрести и использовать ее в своих целях.

Из-за такого распространения версий это превратилось в игру "whack-a-mole", когда появляются новые версии с разными операторами.
Операторы CrySIS/Dharma использовали несколько методов для получения доступа к среде - наиболее известным является использование серверов Microsoft Remote Desktop Protocol (RDP). Она также распространялась через фишинг с вложениями, замаскированными под установочные файлы легитимного программного обеспечения, в том числе производителей аудиовизуальных средств.

Indicators of Compromise

SHA256

  • 419bc8196013d7d8c72b060da1a02d202d7e3eb441101f7bcb6d7667871a5c16
  • 5c2fb1c42f007093be5e463f70ee7e7192990b3385a3cbcc71043980efa312e0
  • 6a0017262def9565b504d04318c59f55bea136ac3dd48862d1ae90ff6b963811
  • b3984a2de76eee3ad20c4b13e0c0cbbab2dd6db65e3f6ca34418e79c21cf5c39
  • b557bf11d82d3d64d028a87584657d25dba0480295ed08447f10c7a579dee048
  • e9253218e30b30c8bb690b2ab02eef47b8b5c8991629d814b2af6664151e9a2f
SEC-1275-1
Добавить комментарий