Dharma - это продвинутое ransomware, которое наблюдается в природе с 2016 года. ФБР считает его второй по прибыльности операцией RaaS. Вредоносная программа нацелена на больницы и государственные организации, шифрует файлы и требует оплаты для восстановления доступа к утраченной информации.
Что такое Dharma ransomware?
Dharma - это вредоносная программа типа ransomware. Вредоносная программа, которая шифрует файлы и требует выкуп за восстановление информации. Dharma, член семейства CrySIS, существует с августа 2017 года и нацелен на такие организации, как больницы. Ему удалось заработать для злоумышленников более 25 миллионов долларов в виде выкупа.
Общее описание Dharma ransomware
Dharma считается продвинутым ransomware, использующим мощное шифрование. Являясь новым вариантом семейства CrySIS, она была впервые замечена в дикой природе в 2017 году. Им управляла неизвестная кибербанда, которой до сих пор удается оставаться в тени. CrySIS предлагался как RaaS (Ransomware-as-a-Service), что означает, что "клиенты" могли использовать его, если они покупали выкупное ПО у злоумышленников. Это означает, что те, кто приобретает вредоносное ПО, осуществляют фактические атаки, а не его создатели.
Разработчики сменили название на Dharma после утечки ключей дешифровки CrySIS в конце 2016 года. Это был первый, но не единственный раз, когда кто-то опубликовал ключи дешифровки, но это был единственный раз, когда злоумышленники переименовали вредоносную программу и провели ребрендинг продукта.
Некоторые исследователи считают, что Dharma - одна из самых популярных вредоносных программ RaaS, существующих в настоящее время. Популярность этой ransomware отчасти объясняется постоянными обновлениями, которые злоумышленники выпускали на протяжении всех лет ее активности.
В действительности, были случаи, когда в течение одной недели сообщалось о трех новых версиях вредоносной программы. Кроме того, Dharma оказалась очень адаптивной, меняя каналы распространения по мере того, как подпольное сообщество переходило от массовых спам-рассылок к более целенаправленным атакам в 2018 и 2019 годах.
Еще одна составляющая, способствовавшая популярности Dharma, - ее гибкость. Хотя сумма выкупа обычно устанавливается в размере одного биткойна, она может быть настроена в зависимости от профиля жертвы. Это означает, что для небольших организаций, которые не могут заплатить столько (напомним, что в 2017 году биткойн стоил почти 20 000 долларов США), сумма платежа может быть снижена.
Хотя эта вредоносная программа не является уникальной, такая гибкость и настройка значительно повышают ее эффективность. Фактически, ФБР назвало Dharma второй по прибыльности операцией ransomware.
Несмотря на все вышесказанное, Dharma никогда не была доступна широкой публике. Единственное место, где ее можно было найти, - это подпольные форумы. По крайней мере, до недавнего времени.
В конце 2019 года исходный код Dharma был замечен выставлен на продажу за 2 000 долларов США.
Это заставило многих исследователей забеспокоиться, поскольку некоторые предсказывали, что выставление исходного кода на продажу приведет к тому, что кто-то выложит его в открытый интернет. Если такая продвинутая программа-вымогатель, как Dharma, попадет в руки массовой аудитории, нас могут ждать большие неприятности.
Следует также отметить, что в 2019 году исследователи сообщили о новой вымогательской программе под названием Phobos, которая имеет почти такой же код, как и Dharma. Хотя некоторые предположили, что это может быть очередной ребрендинг, образцы Dharma по-прежнему постоянно обнаруживаются примерно так же часто, как и случаи использования вредоносного ПО Phobos.
Процесс выполнения вредоносной программы Dharma
Процесс выполнения Dharma ransomware относительно типичен для такого типа вредоносных программ, как WannaCry. После того как исполняемый файл попадает в зараженную систему и запускается, начинается основная вредоносная деятельность. После начала исполнения ransomware удаляет теневые копии. После шифрования всех целевых файлов Dharma выводит на рабочий стол записку с требованием выкупа.
Распространение Dharma ransomware
Для распространения Dharma использовалось множество методов, но наиболее распространенными являются следующие три.
- Целевые электронные письма с вредоносными вложениями или ссылками.
- Использование скомпрометированного легитимного программного обеспечения, часто антивирусов.
- Целевые кампании, злоупотребляющие протоколом RDP.
Из трех каналов распространения спам по электронной почте является наиболее простым. В первые годы существования вредоносного ПО операторы Dharma больше всего полагались именно на него, проводя широкомасштабные кампании и полагаясь на огромное количество потенциальных получателей.
Однако по мере того, как пользователи и организации становятся более осведомленными об опасностях кибератак, спам-рассылки теряют свою эффективность. Операторы Dharma быстро адаптировались и вернулись к двум другим методам доставки полезной нагрузки.
Еще один метод, которым, как известно, пользуется Dharma, - это использование реального скомпрометированного программного обеспечения. Например, в некоторых атаках использовались целевые кампании электронной почты, содержащие ссылку на загрузку. Эти атаки отличались тем, что при нажатии на ссылку загружалась полезная нагрузка вместе со взломанной легитимной программой. Затем программа запускала программу установки, призванную привлечь внимание жертвы, пока исполняемый файл работает в фоновом режиме.
Наконец, последний распространенный метод распространения - это использование скомпрометированного RDP. RDP - это протокол, разработанный компанией Microsoft и используемый для установления соединения между несколькими ПК по сети. Это абсолютно легитимный протокол, который специалисты используют, в частности, для оказания удаленной технической поддержки. Однако, если сеанс становится скомпрометированным, это дает хакерам возможность загрузить и выполнить вредоносный файл, пока у них есть доступ к удаленно подключенному ПК.
Заключение
Dharma - опасное вымогательское ПО. С 2017 года его популярность только растет, а постоянное использование указывает на то, что члены подпольного хакерского сообщества рассматривают его как надежный вариант. Учитывая, что даже ФБР считает Dharma одной из самых эффективных вредоносных программ в своем классе, неудивительно, что она пользуется спросом.
Однако еще большее беспокойство вызывает тот факт, что, несмотря на все внимание, которое Dharma привлекает к себе на протяжении многих лет, создателям этой вредоносной программы удается ускользать от исследователей и постоянно совершенствовать ее.
Хотя для некоторых версий Dharma существуют дешифровщики, единственная причина, по которой они могли быть созданы, - это утечка мастер-ключей кем-то изнутри. Кроме этих случаев, мало что удалось сделать для взлома алгоритма шифрования, используемого Dharma.
А теперь, когда исходный код появился в продаже, есть риск, что он появится в глобальной сети Интернет, что может породить новую массовую волну атак на Dharma.