Comment Dharma ransomware est devenu une entreprise de services efficace

Alors qu’une grande partie de l’attention sur ransomware a naturellement porté sur les souches de tuer des entreprises telles que Maze, ReVIL / Sodiokiobi et WastedLocker, d’autres ransomwares tels que Dharma continuent de prospérer et est devenu le centre d’une entreprise souterraine de services de cybercriminalité, selon une recherche qui révèle comment Dharma s’est établi comme un ransomware efficace et rentable comme un service (RaaS).

Dans un rapport intitulé Couleur par nombres: À l’intérieur d’une attaque Dharma RaaS, Sean Gallagher, chercheur principal sur la menace chez Sophos, a partagé un nouvel aperçu approfondi du script et du test d’outils automatisés d’attaque de Dharma, qui est offert aux acheteurs de cybercriminels pour cibler les petites et moyennes entreprises (PME).

« Avec tant de demandes de rançon de plusieurs millions de dollars, des cibles de haut niveau et des adversaires avancés comme WastedLocker qui font maintenant les manchettes, il peut être facile d’oublier que des menaces comme le Dharma sont bien vivantes et qu’elles permettent à un tout autre échelon de cybercriminels de frapper de multiples cibles plus petites pour ratisser une fortune, huit mille dollars à la fois », a déclaré M. Gallagher.

Depuis son émergence en 2016, Dharma s’est imposé comme l’un des ransomwares les plus rentables grâce à son modèle d’affaires de masse, basé sur les services. Gallagher l’a décrit comme une « franchise de restauration rapide », disant qu’il est largement et facilement disponible à peu près n’importe qui qui le veut.

« Les offres ransomware-as-a-service de Dharma élargissent la gamme de personnes qui peuvent exécuter des attaques ransomware dévastatrices. C’est assez inquiétant en soi en temps normal. Mais à l’heure actuelle, alors que de nombreuses entreprises s’adaptent à la pandémie et s’adaptent à un besoin de soutien rapide pour les travailleurs à distance, et que le personnel informatique s’est étiré, les risques de ces attaques sont amplifiés », a-t-il déclaré.

« La nécessité d’équiper et de permettre une main-d’œuvre étonnamment éloignée a laissé les petites entreprises avec une infrastructure et des dispositifs vulnérables et a entravé la capacité du personnel de soutien informatique de surveiller et de gérer adéquatement les systèmes comme ils le feraient normalement. »

La facilité d’utilisation est au cœur du modèle d’affaires du Dharma RaaS, ce qui le rend particulièrement dangereux pour les PME. Ses bailleurs de fonds offrent à leurs clients un ensemble de scripts et d’outils pré-construits et prennent relativement peu de compétences techniques pour fonctionner, en tirant parti des outils Windows internes, des logiciels gratuits tiers légitimes, des outils de sécurité bien connus et des exploits accessibles au public, intégrés par des scripts PowerShell, batch et AutoIT sur mesure.

Cela étend la portée des opérateurs de Dharma, leur permettant de profiter tandis que leurs clients – qui paient environ 2.000 $ pour Dharma sur les forums souterrains – faire le travail d’âne de la violation des réseaux, l’abandon du ransomware, et l’exécution de « er service à la client » pour les victimes.

Pour la victime, le décryptage est une tâche assez complexe qui fonctionne en deux étapes. Si vous contactez l’affilié Dharma pour les clés de récupération, vous serez donné un outil de première étape qui extrait les détails de tous vos fichiers cryptés. L’affilié partagera ensuite ces données extraites avec les opérateurs de Dharma, qui fournissent ensuite la clé de décryptage de deuxième étape pour les fichiers. Bien sûr, à quel point ce processus est efficace dans la restauration des données est en place pour le débat et beaucoup sera à cheval sur les compétences, et même l’humeur, de l’affilié.

Cela signifie qu’il est préférable d’arrêter une attaque avant qu’elle ne se produise, ou de s’assurer que vous êtes suffisamment bien protégé pour être en mesure de l’ignorer et recommencer.

Gallagher a déclaré que la plupart des attaques d’affiliation Dharma peuvent être effectivement émoussées en veillant à ce que les serveurs de protocole de bureau à distance (RDP) – l’exploitation des serveurs RDP vulnérables est derrière environ 85% des attaques de Dharma – et sécurisé derrière un réseau privé virtuel (VPN) avec authentification multifacteur.

Les PME devraient également être sur le qui-vive pour le vol d’informations d’identification par le biais d’attaques d’hameçonnage – d’autant plus que le travail à distance continue d’être la norme, et de prêter attention à leurs propres fournisseurs de services informatiques et à d’autres tiers qui peuvent avoir accès à leurs systèmes.