Qu'est-ce que Dharma Ransomware et comment s'en protéger ?
Comme la plupart des autres marques de ransomwares,Dharmasemble venir de Russie
Malheureusement, on ne sait pas grand-chose du groupe qui a produit ce ransomware. Pourtant, il existe actuellement trois systèmes distincts en circulation, chacun comportant plusieurs variantes portant des noms différents. L'ancien système de cette famille s'appelle Crise . Celui-ci a été publié pour la première fois en février 2016. Dharma est le deuxième de la série, sorti en juillet 2018, et Phobos ferme la marche et sortira en septembre 2019.
Les trois membres de la famille sont difficiles à distinguer car ils partagent beaucoup de code. En règle générale, les systèmes anti-malware ne peuvent pas les distinguer, signalant souvent Dharma comme Crysis. La situation est encore compliquée par un grand nombre de variantes de chaque.
On sait peu de choses sur le groupe de hackers derrière Dharma. Cependant, le code d'une variante du Dharma était Mis en vente en mars 2020 sur un site Dark Web en russe pour 2 000 $. Il s’agit d’un maigre prix, étant donné que la rançon la plus basse pour la rançon Dharma était de 1 500 dollars, le montant moyen par attaque en décembre 2019 étant de 8 620 dollars. Cependant, les analystes confirment qu’il s’agissait du véritable code du ransomware.
La vente du code du ransomware Dharma pourrait marquer la décision des créateurs de cesser d’utiliser le système au profit de son successeur, Phobos. Cependant, les points communs importants entre les deux systèmes de ransomware signifient que la publication du code du Dharma pourrait potentiellement Phobos exposé . Crysis, Dharma et Phobos sont tous toujours en activité simultanément. On ne sait cependant pas si elles sont toujours contrôlées par les mêmes personnes. On ne sait pas non plus si les développeurs ou un associé mécontent ont vendu le code.
Dharma Ransomware-as-a-Service
Bien qu'il soit difficile de faire la différence entre le code de fonctionnement des trois membres du groupe Crysis, il existe des différences stratégiques marquantes. Par exemple, Crise utilise une pièce jointe infectée dans un e-mail de phishing. Dharma et Phobos utilisez RDP pour atteindre des cibles, mais il y a une différence entre elles – le Dharma est un Ransomware en tant que service plate-forme, mais Phobos est un package d'attaque privé appartenant à un développeur.
Ransomware en tant que service (RaaS) s'inspire du format du package cloud, Logiciel en tant que service (SaaS). Dans le scénario RaaS, les développeurs ont créé un portail client sur son hôte pour le logiciel Dharma. De plus, le système présente le Dharma comme une boîte à outils. Ceci est attrayant pour les pirates informatiques isolés ou les groupes qui apprennent encore les ficelles du métier et ne disposent pas de compétences en programmation en interne.
Les utilisateurs du kit de ransomware Dharma ont des options : ce n’est pas un service fixe, mais il propose des variantes d’attaque. L'accès à un système passe par le Protocole de bureau à distance (RDP). Le système Dharma est un coordinateur pour une série d'utilitaires système disponibles dans le commerce. L’avantage d’utiliser des systèmes logiciels légitimes et bien connus pour une attaque est que les systèmes antivirus doivent les ignorer en tant qu’activité réelle. Cependant, logiciel anti-programme malveillant est formé pour rechercher le programme de coordination à la place.
Le fait que les attaques du ransomware Dharma ne soient pas toutes lancées par les mêmes personnes signifie que les attaques peuvent se produire différemment. Par exemple, le pirate informatique peut entrer manuellement dans un système et copier le programme d'installation, introduire une adresse IP connue dans le portail et laisser la plate-forme lancer l'attaque, ou charger une liste d'adresses IP et regarder le service livrer le ransomware à de nombreuses cibles.
L'avantage de partage des tâches de piratage avec Dharma signifie que les développeurs ont évité la tâche laborieuse de recherche de cibles. Le recours à de nombreux attaquants comme associés augmente également le chiffre d’affaires du ransomware. L'attaquant et le groupe Crysis partagent le produit de l'attaque.
Le protocole de bureau à distance
Microsoft a créé le protocole RDP (Remote Desktop Protocol) et il est intégré dans les fenêtres . Cela signifie queDharma a été spécialement conçu pour attaquer les ordinateurs équipés du système d'exploitation Windows.
RDP est un protocole de communication, et cela permet à quelqu'un de se connecter à un appareil et de voir son bureau, de sorte que l'ordinateur distant peut être utilisé comme s'il était local. Ceci est particulièrement utile pour les collaborateurs qui sont fréquemment sur le terrain, comme les commerciaux ou les consultants. Cependant, il est également largement utilisé pour servir les travailleurs en télétravail.
Le protocole RDP se connecte à Port TCP 3389 . Par conséquent, en cours de fonctionnement, l'administrateur doit activer RDP sur l'ordinateur hôte. Cela démarre un programme de réception qui boucle continuellement, surveillant les demandes de connexion entrantes avec le numéro de port 3389.
Il y a options de sécurité disponible. L'administrateur peut configurer un mot de passe qui doit être saisi par l'utilisateur distant avant que l'accès puisse se poursuivre. Malheureusement, de nombreux administrateurs ne t'embête pas avec cette fonctionnalité. L'utilisateur sera toujours invité à saisir un mot de passe, mais entrera en appuyant simplement sur Entrée. Cette configuration non sécurisée est exactement ce que recherche le ransomware Dharma.
Le ransomware Dharma peut facilement être bloqué simplement en définir un mot de passe pour l'accès RDP. Cependant, la protection par mot de passe doit être activée, mais le mot de passe doit être complexe et difficile à deviner.
Les attaques automatisées du ransomware Dharma abandonneront simplement le flux de travail s'il rencontre une exigence de mot de passe. Cependant, les attaques manuelles il ne faut pas s'arrêter là. Le pirate informatique peut essayer une série de mots de passe couramment utilisés ou inciter l'un des utilisateurs de l'ordinateur cible à divulguer le mot de passe.
Une attaque du rançongiciel Dharma
Les variantes d’une attaque de ransomware Dharma se concentrent principalement sur la méthode d’accès. Une fois le programme d’installation du ransomware installé sur l’ordinateur cible, une attaque se déroule de la même manière.
Le système utilise Mimikatz , le gestionnaire d'utilisateurs local de Windows, NirSoft Bureau à distance PassView , LaZagne , et Hash Suite Outils Édition Gratuite pour essayer d'identifier les comptes d'utilisateurs et leurs mots de passe. Il utilise ensuite le Chasseur PC outil de diagnostic du système, Détecteur de rootkit GMER , et Déverrouillage IOBit pour identifier les processus qui possèdent des fichiers et les tue pour rendre ces fichiers disponibles pour le cryptage. Enfin, il utilise Programme de désinstallation Revo et Programme de désinstallation d'IOBit pour supprimer les logiciels qui représentent une menace pour le ransomware.
Tous ces progiciels standards sont exécutés par un script PowerShell. Le pack de ransomwares comprend également des scripts PowerShell qui gèrent la protection et la persistance des logiciels malveillants. Ils identifient les processus antivirus et les tuent, puis décompressent puis exécutent le ransomware.
Le système utilise le natif Client Microsoft RDP et Scanner IP avancé pour identifier et contacter d'autres ordinateurs sur le réseau.
Exceptionnellement, afin de mettre en place tous les logiciels du ransomware Dharma, la plate-forme RaaS arrête l'ordinateur cible et le redémarre, affiche un casier d'écran avec EffacerVerrouillage , gelant les utilisateurs et transférant le contrôle à la plateforme pour la phase finale de l'attaque. À ce stade, le pirate informatique a également la possibilité de suspendre l’attaque et de se déplacer dans le système de la victime pour explorer les fichiers et voler des données.
La plateforme décompresse le malware et essaie de lancer le système de cryptage avec un nom d'utilisateur et un mot de passe découverts. Si cela échoue, le système invite le pirate informatique à relancer le processus manuellement avec des informations d'identification d'utilisateur sur l'ordinateur cible différentes.
Qu'est-ce que le système de cryptage du Dharma ?
Dharma le Chiffre AES avec une clé de 256 bits pour crypter les fichiers. La clé est créée sur l'ordinateur attaqué. Le ransomware génère également un identifiant unique pour l'attaque. L'ID et la clé AES sont ensuite regroupés avec Cryptage RSA en utilisant une clé de 1048 bits. Cela protège la transmission de la clé au serveur de commande et de contrôle (C&C).
Le système renomme chaque fichier une fois qu'il a été crypté. Ce processus de renommage marque les extensions supplémentaires sur le nom de fichier d'origine. Le format pour cela est :
Cette extension finale .dharma peut être différente, selon la variante utilisée – il existe environ 200 variantes en circulation.
Une fois que tous les fichiers de travail ont été cryptés, le système génère deux demandes de rançon. L’un est en texte brut et reste sur le disque dur ; le deuxième est dans AHT format et est ouvert pour l’affichage. Cela donne à la victime des instructions sur la façon de procéder.
Affichage des instructions l'identifiant de l'attaque et dites à la victime de l'utiliser dans sa correspondance. La note donne également une adresse e-mail à contacter, qui est la même adresse e-mail indiquée à la fin du nom de chaque fichier crypté.
L'agresseur renvoie la victime un outil qui génère une liste de fichiers cryptés et la renvoie au pirate informatique. La victime doit alors organiser le paiement. L'affilié soumet la liste des fichiers via le portail RaaS, avec un paiement Bitcoin , ce qui représente une part de la rançon. Avec ça, le RaaS revient un outil de décryptage avec la clé de décryptage pour le cryptage RSA. Lorsque l’outil de décryptage s’exécute sur l’ordinateur de la victime, il localise la clé AES cryptée, la décrypte, puis la lit pour effectuer le décryptage de tous les fichiers.
Se protéger contre le rançongiciel Dharma
Vous pouvez éviter de payer la rançon si vous disposez de copies de sauvegarde de tous vos fichiers de travail. Mais il faut aussi protéger les magasins de sauvegarde pour ne pas être piraté par des pirates. Un moyen simple de protéger les systèmes contre une intrusion du ransomware Dharma consiste à protéger par mot de passe tous les ports RDP et à instaurer un accès VPN sécurisé pour les travailleurs à distance. Cependant, il existe toujours le danger qu’un affilié du ransomware Dharma puisse tromper l’utilisateur via des e-mails de phishing.
Vous devez protéger vos appareils utilisateur avec détection et réponse des points finaux des systèmes qui détectent les activités suspectes et isolent ce point final avant que le ransomware ne puisse se propager. C'est également une bonne idée d'obtenir une protection supplémentaire pour les données sensibles.
Voici trois packages de sécurité système que vous devriez considérer :
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike combine la détection et la réponse des points finaux avec une recherche des menaces basée sur le cloud et un flux de renseignements sur les menaces. Chaque appareil est doté d'un agent installé. Ce logiciel est également disponible sous forme de package autonome, appelé Faucon Empêcher . Le module EDR recherche toute activité anormale et détecte ainsi les scripts PowerShell qui implémentent une grande partie de la configuration impliquée dans une attaque de ransomware Dharma.
L'EDR peut suspendre les comptes d'utilisateurs, bloquer la communication avec des adresses IP suspectes et isoler l'ordinateur du réseau. Cette combinaison d'actions permettrait fermer une attaque du Dharma. Une fois que la menace est moins immédiate, le service peut identifier et supprimer les composants du Dharma. Pendant ce temps, le système de renseignement sur les menaces coordonne les contrôles avec tous les points finaux de la conception et recherche les avertissements concernant de nouveaux logiciels malveillants, y compris d'autres menaces de ransomware.
CrowdStrike Prevent est disponible pour unEssai gratuit de 15 jours.
CrowdStrike Prevent Start Essai GRATUIT de 15 jours
3. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus protège les données sensibles et devrait être déployé par les entreprises suite RGPD , HIPAA , PCI DSS , ou d'autres normes de confidentialité des données.
Ce forfait comprend un module découverte qui identifie et catégorise les données sensibles. Il protège ensuite tous les fichiers avec un moniteur d'intégrité des fichiers, qui détecterait le début du processus de cryptage et bloquerait Dharma ou d'autres systèmes de ransomware.
ManageEngine DataSecurity Plus fonctionne sur Serveur Windows, et il est disponible pour un essai gratuit de 30 jours .
3. BitDefender GravityZone
BitDefender GravityZone comprend un ensemble d'outils pour protéger votre système contre tout type d'attaque de logiciels malveillants, y compris le ransomware Dharma. Le pack GravityZone comprend détection et réponse des points finaux (EDR) pour détecter un comportement anormal et isoler l’appareil avant qu’une infection ne puisse se propager. Il comprend également une analyse des vulnérabilités, qui identifiera ports ouverts ou non sécurisés . De plus, son service est lié à un gestionnaire de correctifs , qui maintient les systèmes d'exploitation et les logiciels à jour. Il y a aussi panneau de configuration et un moniteur d'intégrité des fichiers dans le paquet.
Les outils essentiels du système GravityZone pour se prémunir contre le ransomware Dharma sont un gestionnaire de sauvegarde et une analyse multipoint des logiciels malveillants. Le système GravityZone analyse tous les fichiers plusieurs fois. En plus de les protéger de modifications non autorisées avec le moniteur d'intégrité des fichiers, il les analysera à la recherche de signes d'infection avant de les télécharger sur le serveur de sauvegarde .
BitDefender GravityZone s'exécute sur un hyperviseur comme une appliance virtuelle, et il est disponible pour un essai gratuit d'un mois .