Cover Image

Dharma ransomware ha creato un toolkit di hacking per rendere facile il crimine informatico

13 Agosto 2020 - Tempo di lettura: 16 minuti

L'operazione Dharma Ransomware-as-a-Service (RaaS) rende facile per un aspirante criminale informatico entrare nel business dei ransomware offrendo un kit di strumenti che fa quasi tutto per loro.

Un'operazione RaaS è un modello di criminalità informatica in cui gli sviluppatori sono responsabili della gestione dello sviluppo del ransomware e del sistema di pagamento del riscatto. Allo stesso tempo, gli affiliati sono responsabili della compromissione delle vittime e della distribuzione del ransomware

Come parte di questo modello, gli sviluppatori guadagnano tra il 30 e il 40% di qualsiasi pagamento di riscatto e gli affiliati fanno il resto.

La maggior parte degli odierni gruppi di ransomware mirati alle imprese opera come un modello RaaS privato, a cui sono invitati a partecipare solo gli hacker di maggior talento.

Ad esempio, REvil RaaS richiede che tutti i potenziali affiliati siano intervistati e dimostrino di essere hacker esperti.

Una delle più antiche famiglie di ransomware attive oggi è il Dharma ransomware.

Parte dal nome CrySiS intorno a marzo 2016.

Subito dopo è stata rilasciata una nuova variante del ransomware che ha aggiunto l'estensione .dharma ai file crittografati. Da allora, la famiglia e il suo flusso costante di nuove varianti sono stati conosciuti come Dharma.

A differenza di altre operazioni RaaS rivolte a grandi aziende che richiedono richieste di riscatto da centomila a milioni di dollari, Dharma tende ad essere nella fascia più bassa con richieste medie di circa $ 9.000.

Basato su un nuovo toolkit offerto dal RaaS, il suo prezzo basso potrebbe riflettere la bassa barra di accesso richiesta per gli affiliati.

Dharma RaaS offre un toolkit già pronto per gli aspiranti hacker

Una nuova ricerca di Sophos potrebbe spiegare perché le richieste di riscatto sono molto più basse per gli attacchi di ransomware Dharma rispetto ad altre operazioni; si rivolge a un affiliato meno esperto.

A differenza di molte operazioni RaaS private che funzionano solo con hacker esperti, è stato scoperto che gli operatori di Dharma offrono un toolkit già pronto che consente a chiunque aspiri ad hacker di compromettere una rete.

Conosciuto come "Toolbelt", questo toolkit è uno script PowerShell che, quando viene eseguito, consente all'autore dell'attacco di scaricare ed eseguire una varietà di strumenti da una cartella condivisa di Desktop remoto mappata "\\ tsclient \ e".

Quando si utilizza il toolkit, l'affiliato inserisce un numero corrispondente a una delle 62 attività che possono essere eseguite.

Dopo aver immesso il comando, il toolkit scarica gli eseguibili necessari dalla condivisione Desktop remoto e li esegue.

Questo toolkit consente all'affiliato di diffondersi lateralmente attraverso una rete con l'aiuto di strumenti come Mimikatz per raccogliere le password, NirSoft Remote Desktop PassView per rubare le password RDP, Hash Suite Tools Free per scaricare hash e altri strumenti per trovare i computer da individuare e infine distribuire il ransomware.

Dopo aver ottenuto il toolkit, si può confermare che richiede che la condivisione del desktop remoto dell'affiliato sia configurata correttamente e accessibile affinché i comandi vengano eseguiti correttamente.

Questa condivisione remota richiesta indica che il toolkit fa parte di un pacchetto più grande distribuito da RaaS.

Per un hacker inesperto, questo toolkit contiene tutti i programmi di cui l'affiliato ha bisogno per rubare le password, diffondersi su altre macchine su una rete e infine distribuire il ransomware.

Uno schema negli attacchi del Dharma

Dopo aver analizzato i modelli degli attacchi Dharma, Sophos ha scoperto che un gruppo di affiliati esegue comunemente i seguenti passaggi quando utilizza il toolkit:

  • L'aggressore ha lanciato lo script toolbelt (toolbelt.ps1 -it 1)
  • 10:, elimina-avservices.ps1
  • 15: GMER (gamer.exe)
  • 13: installazione e avvio di ProcessHacker
    • esecuzione di processhacker-2.39-setup.exe
    • eseguendo processhacker.exe
  • 222: javsec.exe (wrapper Brute Mimikatz / NL)
  • 34: ipscan2.exe (Advanced IP Scanner)
  • 32: mstsc.exe
  • 21: takeaway.exe (pacchetto ransomware)
    • esegue winhost.exe (Dharma)
    • esegue purgememory.ps1
  • 33: ns2.exe (scansione di rete)

"Questi casi erano correlati a un singolo operatore Dharma RaaS. Sappiamo che ci sono più operatori Dharma, ma i molteplici casi che abbiamo trovato in questa ricerca utilizzando questi script erano legati a uno specifico RaaS con più sub-operatori".

"Non sappiamo se tutti usano lo stesso set di strumenti, ma abbiamo visto lo stesso schema di attacco in molti, molti attacchi Dharma, quindi riteniamo che possano provenire tutti almeno da una singola fonte originale e sono ampiamente utilizzati", dice il ricercatore Sophos Sean Gallagher.

Sophos ritiene inoltre che RaaS fornisca la documentazione sull'utilizzo del toolkit per diffondersi lateralmente attraverso una rete. 

Con un approccio simile visto in numerosi attacchi, la documentazione probabilmente fornisce una serie di passaggi che gli affiliati dovrebbero utilizzare durante la distribuzione del ransomware.

Offrendo un toolkit e documentazione su come usarlo, Dharma può reclutare più potenziali affiliati.

Questo pool più ampio di distributori consente loro di lanciare una rete ampia per catturare quante più vittime possibile e ciò che perdono in riscatti più piccoli, compensano un volume di pagamenti potenzialmente più consistente.

intopic.it