Cover Image

Hacker iraniani distribuiscono il ransomware Dharma

24 Agosto 2020 - Tempo di lettura: 8 minuti

Gli hacker poco qualificati probabilmente provenienti dall'Iran si sono uniti al business dei ransomware che prendono di mira le aziende in Russia, India, Cina e Giappone. Stanno cercando colpi facili, utilizzando strumenti disponibili pubblicamente nella loro attività.

Il nuovo gruppo sta distribuendo Dharma ransomware. Basato su artefatti forensi, si tratta di una banda non sofisticata e finanziariamente motivata che è nuova al crimine informatico.

Hacker dilettanti al lavoro

L'hacker non è avido. La loro domanda di riscatto è compresa tra 1-5 Bitcoin (attualmente $ 11.700 - $ 59.000), che si trova nella fascia più bassa delle richieste di riscatto rispetto ad altre operazioni di ransomware.

Trovano le vittime scansionando gli intervalli di indirizzi IP su Internet alla ricerca di connessioni desktop remote (RDP) esposte; il loro strumento preferito per questa fase è Masscan, un port scanner open source.

Successivamente, lanciano una forza bruta con NLBrute, un'utilità che prova un elenco di password RDP nel tentativo di trovare una combinazione che funzioni. Una volta entrati, a volte cercano di elevare i privilegi sfruttando una vecchia vulnerabilità ( CVE-2017-0213 ) in Windows 7-10.

I ricercatori della società di sicurezza informatica Group-IB hanno appreso di questo nuovo gruppo a giugno  presso un'azienda in Russia. Sulla base di artefatti forensi, hanno determinato che l'aggressore erano "hacker principianti di lingua persiana".

A sostegno di questa conclusione ci sono indizi dalle fasi successive dell'attacco, che sembrano mancare della fiducia di un attore che sa cosa fare una volta dopo aver violato una rete.

“È interessante notare che gli autori delle minacce probabilmente non avevano un piano chiaro su cosa fare con le reti compromesse. Una volta stabilita la connessione RDP, decidono quali strumenti implementare per spostarsi lateralmente", Group-IB
"Ad esempio, per disabilitare il software antivirus integrato, gli aggressori hanno utilizzato Defender Control e Your Uninstaller", spiegano i ricercatori.

Un'ulteriore prova che l'operazione è opera di uno script kiddie proveniente dall'Iran proviene da query di ricerca in persiano per trovare altri strumenti necessari per l'attacco e dai canali Telegram in lingua persiana che li forniscono.

Group-IB ha compilato la seguente serie di tattiche, tecniche e procedure osservate con questo particolare attore di minacce:

Il numero di vittime compromesse da questo attore della minaccia rimane sconosciuto, proprio come il percorso che ha portato l'attore della minaccia all'operazione di Dharma ransomware-as-a-service (RaaS).

Tuttavia, dato che gli operatori di Dharma forniscono un toolkit che rende facile per chiunque diventare un criminale informatico, non dovrebbe sorprendere che persone inesperte stiano distribuendo questo malware di crittografia dei file.

Oleg Skulkin, analista senior DFIR presso Group-IB, afferma che il codice sorgente del ransomware Dharma trapelato a marzo spiega anche l'uso più ampio di questo ceppo di malware.

Ciò che sorprende, tuttavia, è l'uso del malware per guadagni finanziari da parte di un gruppo di minacce iraniane. Storicamente, l'attività informatica proveniente da questa regione è stata collegata a operazioni di spionaggio e sabotaggio sostenute dallo stato.

"È sorprendente che il Dharma sia finito nelle mani di copioni iraniani che lo hanno usato per guadagni finanziari, poiché l'Iran è stato tradizionalmente una terra di aggressori sponsorizzati dallo stato impegnati in spionaggio e sabotaggio" - Oleg Skulkin

intopic.it