Mis on Dharma lunavara ja kuidas selle eest kaitsta?
Nagu enamik teisi lunavarabrände,Dharmatundub pärit olevat Venemaa
Kahjuks pole selle lunavara tootnud grupi kohta palju teada. Sellegipoolest on sellel praegu käibel kolm eraldi süsteemi, millest igaühel on mitu varianti, mis lähevad erinevate nimede alla. Vana süsteemi selles perekonnas nimetatakse Crysis . See avaldati esmakordselt 2016. aasta veebruaris. Dharma on seeria teine, ilmus juulis 2018 ja Phobos toob välja tagaosa, ilmub septembris 2019.
Kolme pereliiget on raske eristada, kuna neil on palju koodi. Tavaliselt ei suuda pahavaratõrjesüsteemid nende vahel vahet teha, märgistades sageli Dharma kui Crysis. Olukorra muudab veelgi keerulisemaks suur hulk variandid igast.
Dharma taga olevast häkkerirühmast on vähe teada. Dharma variandi kood oli aga müüki pandud märtsil 2020 venekeelsel Dark veebisaidil 2000 dollari eest. See oli napp hind, arvestades, et madalaim Dharma lunaraha lunaraha oli 1500 dollarit, kusjuures 2019. aasta detsembris oli keskmine rünnak 8620 dollarit. Analüütikud aga kinnitavad, et see oli lunavara ehtne kood.
Dharma lunavara koodimüük võib tähistada loojate otsust lõpetada süsteemi kasutamine selle järglase Phobose kasuks. Kahe lunavarasüsteemi märkimisväärne sarnasus tähendab aga seda, et Dharma koodi avaldamine võib paljastas Phobos . Crysis, Dharma ja Phobos on kõik endiselt tegutseb samaaegselt. Samas pole teada, kas neid kõiki ikka kontrollivad samad inimesed. Samuti on ebaselge, kas koodi müüsid arendajad või rahulolematu kaaslane.
Dharma Ransomware-as-a-Service
Kuigi kolme Crysis grupi liikme tegevuskoodil on raske vahet teha, on siiski eristavaid strateegilisi erinevusi. Näiteks, Crysis kasutab andmepüügimeilil nakatunud manust. Dharma ja Phobos kasutage sihtmärkideni jõudmiseks RDP-d, kuid nende vahel on erinevus – Dharma on a Ransomware-as-a-Service platvormil, kuid Phobos on arendajale kuuluv privaatne rünnakupakett.
Ransomware-as-a-Service (RaaS) on inspireeritud pilvepaketi vormingust, Tarkvara teenusena (SaaS). RaaS-i stsenaariumi korral lõid arendajad selle hosti Dharma tarkvara jaoks kliendiportaali. Lisaks esitleb süsteem Dharmat tööriistakomplektina. See on ahvatlev üksikutele häkkeritele või rühmadele, kes alles õpivad trossi ja kellel pole ettevõttesiseseid programmeerimisoskusi.
Dharma lunavarakomplekti kasutajatel on valikud – see ei ole fikseeritud teenus, kuid see pakub rünnaku jaoks erinevaid variante. Tee süsteemisse on läbi Kaugtöölaua protokoll (RDP). Dharma süsteem on mitmete valmissüsteemide utiliitide koordinaator. Tuntud legitiimsete tarkvarasüsteemide kasutamise eeliseks on see, et AV-süsteemid peaksid neid kui ehtsat tegevust ignoreerima. Kuid, pahavaratõrje on koolitatud selle asemel koordineerivat programmi otsima.
Asjaolu, et Dharma lunavararünnakuid ei käivita samad inimesed, tähendab, et rünnakud võivad toimuda erinevalt. Näiteks saab rentiv häkker käsitsi siseneda süsteemi ja kopeerida üle installija, sisestada portaali teadaoleva IP-aadressi ja lasta platvormil rünnak käivitada või laadida sisse IP-aadresside loendi ja jälgida, kuidas teenus lunavara kohale toimetab. palju sihtmärke.
Kasu sellest tööülesannete jagamine Dharmaga häkkimine tähendab, et arendajad jätavad sihtmärkide uurimise vaevarikka ülesande ära. Paljude ründajate kasutamine kaaslastena suurendab ka lunavara käivet. Ründaja ja rühmitus Crysis jagavad rünnaku tulu.
Kaugtöölaua protokoll
Microsoft lõi Remote Desktop Protocol (RDP) ja see on integreeritud Windows . See tähendab, etDharma loodi spetsiaalselt Windowsi operatsioonisüsteemiga arvutite ründamiseks.
RDP on sideprotokoll, ja see võimaldab kellelgi luua ühenduse seadmega ja näha selle töölauda, nii et kaugarvutit saab kasutada nii, nagu oleks see kohalik. See on eriti kasulik töötajatele, kes töötavad sageli valdkonnas, näiteks müügipersonalile või konsultantidele. Kuid seda kasutatakse laialdaselt ka kaugtöö töötajate teenindamiseks.
RDP-protokoll loob ühenduse TCP port 3389 . Seetõttu peab administraator töötamise ajal hostarvutis RDP aktiveerima. See käivitab vastuvõtva programmi, mis teeb pidevat silmust, jälgides sissetulevaid ühenduse taotlusi pordinumbriga 3389.
Seal on turvavõimalused saadaval. Administraator saab seadistada parooli, mille kaugkasutaja peab enne juurdepääsu jätkamist sisestama. Kahjuks paljud administraatorid ära viitsi selle funktsiooniga. Kasutajalt küsitakse endiselt parooli, kuid ta pääseb sisse, vajutades lihtsalt sisestusklahvi. See ebaturvaline seadistus on täpselt see, mida Dharma lunavara otsib.
Dharma lunavara saab lihtsalt blokeerida parooli seadmine RDP juurdepääsu jaoks. Paroolikaitse tuleb siiski aktiveerida, kuid parool peab olema keeruline ja seda ei ole lihtne ära arvata.
Automatiseeritud Dharma lunavararünnakud lihtsalt katkestavad töövoo, kui sellel tekib paroolinõue. Kuid käsitsi juhitavad rünnakud ei pea sellega peatuma. Häkker võib proovida mitmeid sageli kasutatavaid paroole või meelitada üht sihtarvuti kasutajat parooli avaldama.
Dharma lunavararünnak
Dharma lunavararünnakute variatsioonid keskenduvad peamiselt juurdepääsumeetodile. Kui lunavara installija on sihtarvutis, jätkub rünnak samal viisil.
Süsteem kasutab Mimikatz , Windowsi kohalik kasutajahaldur, NirSoft Remote Desktop PassView , LaZagne ja Hash Suite Toolsi tasuta väljaanne proovida tuvastada kasutajakontosid ja nende paroole. Seejärel kasutab see PC Hunter süsteemi diagnostika tööriist, GMER juurkomplekti detektor ja IOBit Unlocker faile omavate protsesside tuvastamiseks ja nende hävitamiseks, et muuta need krüpteerimiseks kättesaadavaks. Lõpuks kasutab Revo desinstaller ja IOBit Uninstaller lunavarale ohtu kujutava tarkvara eemaldamiseks.
Kõiki neid standardseid tarkvarapakette käitab PowerShelli skript. Lunavarapakett sisaldab ka PowerShelli skripte, mis haldavad pahavara kaitset ja püsivust. Nad tuvastavad AV-protsessid ja tapavad need ning pakivad lahti ja käivitavad seejärel lunavara.
Süsteem kasutab natiivset Microsofti RDP klient ja Täiustatud IP-skanner teiste võrgus olevate arvutite tuvastamiseks ja nendega ühenduse võtmiseks.
Ebatavaliselt lülitab RaaS platvorm kogu Dharma lunavara tarkvara paika panemiseks sihtarvuti välja ja taaskäivitab selle, avab ekraaniluku koos ClearLock , külmutades kasutajad ja andes juhtimise üle platvormile rünnaku viimases faasis. Sel hetkel on häkkeril ka võimalus rünnak peatada ja ohvri süsteemis liikuda, et faile uurida ja andmeid varastada.
Platvorm pakib pahavara lahti ja proovib avastatud kasutajanime ja parooliga krüpteerimissüsteemi käivitada. Kui see ebaõnnestub, palub süsteem häkkeril protsess käsitsi erinevate sihtarvuti kasutaja mandaatidega uuesti käivitada.
Mis on Dharma krüpteerimissüsteem?
Dharma AES šifr 256-bitise võtmega failide krüptimiseks. Võti luuakse rünnatud arvutis. Lunavara genereerib ka rünnaku jaoks ainulaadse ID. Seejärel komplekteeritakse ID ja AES-võti RSA krüptimine kasutades 1048-bitist võtit. See kaitseb võtme edastamist käsu- ja juhtimisserver (C&C).
Süsteem nimetab iga faili ümber pärast selle krüptimist. See ümbernimetamisprotsess märgistab algsele failinimele lisalaiendid. Selle vorming on järgmine:
See lõplik .dharma laiendus võib olla erinev, olenevalt kasutatavast variandist – käibel on umbes 200 varianti.
Kui kõik tööfailid on krüptitud, genereerib süsteem kaks lunaraha. Üks on lihttekstina ja jäetakse kõvakettale; teine on sees AHT vormingus ja avatakse kuvamiseks. See annab ohvrile juhised, kuidas edasi toimida.
Juhiste kuvamine rünnaku ID ja käskige ohvril seda kirjavahetuses kasutada. Märkus annab kontaktile ka e-posti aadressi, mis on sama e-posti aadress, mis on märgitud iga krüptitud faili nime lõppu.
Ründaja saadab ohvri tagasi tööriist mis loob krüptitud failide loendi ja saadab selle häkkerile tagasi. Seejärel peab ohver korraldama makse. Sidusettevõte esitab failide nimekirja RaaS portaali kaudu koos Bitcoini makse , mis esindab osa lunarahast. Sellega naaseb RaaS dekrüpteerimistööriist RSA krüptimise dekrüpteerimisvõtmega. Kui dekrüpteerimistööriist töötab ohvri arvutis, leiab see krüptitud AES-võtme asukoha, dekrüpteerib selle ja loeb seejärel sisse, et kõik failid dekrüpteerida.
Kaitse Dharma lunavara eest
Lunaraha maksmist saate vältida, kui teil on kõigist töötavatest failidest varukoopiad. Samas on vaja ka kaitsta varunduspoode et mitte häkkerite poolt sisse murda. Lihtne viis süsteemide kaitsmiseks Dharma lunavara sissemurdmise eest on kaitsta kõiki RDP-porte parooliga ja luua kaugtöötajatele turvaline VPN-juurdepääs. Siiski on alati oht, et Dharma lunavara sidusettevõte võib andmepüügimeilide kaudu selle parooli kasutajalt välja petta.
Peate oma kasutajaseadmeid kaitsma lõpp-punkti tuvastamine ja reageerimine süsteemid, mis tuvastavad kahtlase tegevuse ja isoleerivad selle lõpp-punkti enne, kui lunavara levib. Samuti on hea mõte hankida tundlikele andmetele lisakaitset.
Siin on kolm süsteemi turvapaketti, mida peaksite kaaluma:
1. CrowdStrike Falcon Insight (tasuta prooviversioon)
CrowdStrike Falcon Insight ühendab lõpp-punkti tuvastamise ja reageerimise pilvepõhise ohujahi ja ohuluure vooga. Igale seadmele on installitud agent. See tarkvara on saadaval ka eraldiseisva paketina, nn Falconi ennetamine . EDR-moodul otsib ebanormaalset tegevust, nii et see tuvastaks need PowerShelli skriptid, mis rakendavad suure osa Dharma lunavararünnakuga seotud seadistustest.
EDR võib peatada kasutajakontod, blokeerida side kahtlaste IP-aadressidega ja isoleerida arvuti võrgust. See toimingute kombinatsioon oleks Lülita välja Dharma rünnak. Kui oht on vähem vahetu, saab teenus tuvastada ja eemaldada Dharma komponendid. Samal ajal koordineerib ohtude luuresüsteem kontrolle kõigi kujunduse lõpp-punktidega ja otsib hoiatusi uue pahavara, sealhulgas muude lunavaraohtude kohta.
CrowdStrike Prevent on saadaval a15-päevane tasuta prooviperiood.
CrowdStrike Prevent Start 15-päevane TASUTA prooviperiood
3. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus kaitseb tundlikke andmeid ja seda peaksid kasutama järgivad ettevõtted GDPR , HIPAA , PCI DSS või muud andmeprivaatsusstandardid.
See pakett sisaldab avastusmoodul mis tuvastab ja kategoriseerib tundlikud andmed sot4res. Seejärel kaitseb see kõiki faile failide terviklikkuse monitoriga, mis tuvastab krüpteerimisprotsessi alguse ja blokeerib Dharma või muud lunavarasüsteemid.
ManageEngine DataSecurity Plus töötab edasi Windows Server, ja see on saadaval 30-päevane tasuta prooviperiood .
3. BitDefender GravityZone
BitDefender GravityZone sisaldab tööriistu, mis kaitsevad teie süsteemi igasuguse pahavara, sealhulgas Dharma lunavara rünnakute eest. GravityZone'i komplekt sisaldab lõpp-punkti tuvastamine ja reageerimine (EDR), et tuvastada anomaalne käitumine ja isoleerida seade enne nakkuse levikut. See hõlmab ka haavatavuse skannimist, mis tuvastab avatud või ebaturvalised pordid . Lisaks on tema teenistus seotud a plaastrihaldur , mis hoiab operatsioonisüsteemid ja tarkvara ajakohasena. Samuti on a konfiguratsioonihaldur ja a faili terviklikkuse jälgija pakendis.
GravityZone süsteemi olulised tööriistad Dharma lunavara eest kaitsmiseks on varuhaldur ja mitmepunktiline pahavara skannimine. GravityZone süsteem skannib kõiki faile mitu korda. Nagu ka nende kaitsmine volitamata muudatused failide terviklikkuse monitoriga skannib see enne nende üleslaadimist nakkuse tunnuste suhtes varuserver .
BitDefender GravityZone töötab hüperviisoril kui virtuaalne seade, ja see on saadaval ühekuuline tasuta prooviperiood .