Dharma Ransomware macht ein neues Hacking-Tool, um Cyber-Kriminalität einfach zu machen

Die bekannte Ransomware-Familie namens Dharma hat Berichten zufolge ein neues Hacking-Tool erstellt

Das Dharma Ransomware-as-a-Service erleichtert Berichten zufolge Cyberkriminellen das Ransomware-Geschäft, indem es ein neues Toolkit anbietet, mit dem sie alles ausführen können. Technisch gesehen soll der RaaS-Betrieb ein Cyber-Kriminalitätsmodell sein, mit dem die Entwickler das Ransomware-Entwicklungs- und Zahlungssystem verwalten. Im Moment müssen die Experten sagen, dass Affiliates grundsätzlich dafür verantwortlich sind, Opfer zu kompromittieren und die Ransomware auf einem Zielcomputer bereitzustellen.

Da das Modell auf Affiliate-Marketing-Strategien basiert, verdienen die Entwickler etwa 30 bis 40 Prozent der Lösegeldzahlung, während die Affiliates den Rest des Geldes als Provision verdienen.

Wie in den meisten unternehmensbasierten Ransomware-Gruppen festgestellt, fungieren sie als privates RaaS-Modell, zu dem die talentiertesten Hacker meist eingeladen werden. Zum Beispiel muss der Revil RaaS alle potenziellen Partner interviewen und den Beweis erbringen, ob sie wirklich erfahrene Hacker sind.

Obwohl die Liste der Ransomware-Familien lang ist, ist die älteste heute die Dharma-Ransomware. Diese Ransomware wurde erstmals im März 2016 als CrySIS-Ransomware bezeichnet. Später kam sie mit einer neuen Variante zurück und wurde als Dharma-Ransomware bezeichnet, die früher mit der Erweiterung .dharma angehängt wurde. Demnach werden alle neuen Stämme als Dharma bezeichnet.

In den meisten Fällen verlangt der unternehmensbasierte RaaS-Betrieb normalerweise rund hunderttausende Millionen Dollar als Lösegeld. Der Dharma fordert seine Ziele lediglich auf, mit durchschnittlichen Forderungen von nur 9000 Dollar zu zahlen.

Da das neue Toolkit jedoch veröffentlicht und seinen verbundenen Unternehmen angeboten wird, kann sein niedriger Preis die niedrige Eintrittsbarriere widerspiegeln.

Dharma Ransomware bietet ein Toolkit für seine Möchtegern-Hacker an

Laut den Untersuchungen von Sophos richtet sich Dharma an weniger erfahrene Partner, weshalb die Lösegeldforderungen im Vergleich zu anderen RaaS-Operationen viel geringer sind. Mit Hilfe des neu erstellten Toolkits von Dharma-Entwicklern können alle Möchtegern-Hacker ein Netzwerk kompromittieren.

Technisch gesehen wird dieses neu erstellte Toolkit als Toolbelt bezeichnet. Hierbei handelt es sich um ein Powershell-Skript, mit dessen Hilfe die Angreifer bei Ausführung eine Reihe möglicher Tools aus dem zugeordneten freigegebenen Remotedesktop-Ordner \\ tsclient \ e herunterladen und ausführen können. Während der Verwendung des Toolkits müssen die Partner lediglich eine Nummer für die entsprechenden Aufgaben mit 62 enthaltenen Funktionen eingeben, und die Aufgabe wird ausgeführt.

Sobald der Befehl durch das Dienstprogramm übergeben wurde, lädt er die wesentlichen ausführbaren Dateien vom Remotedesktop herunter, gibt sie über den Zielcomputer frei und führt sie aus.

Mit dem oben genannten Toolkit können sich die Partner mithilfe verschiedener Dienstprogramme wie Mimikatz zum Ernten von Kennwörtern, NorSoft Remote Desktop PassView zum Stehlen von RDP-Kennwörtern über einen neuen Anbieter verbreiten. Ebenso werden viele weitere Tools verwendet, um die Ransomware erfolgreich bereitzustellen.

Experten müssen sagen, dass die Remotedesktop-Freigabe der Partner ordnungsgemäß eingerichtet und zugänglich ist, damit die Befehle nach Erhalt des Toolkits ordnungsgemäß ausgeführt werden können. Diese Remote-Freigabe zeigt, dass das Toolkit Teil eines großen Pakets ist, das von RaaS vertrieben wird.

Für diejenigen Hacker, die nicht genug Erfahrung haben, enthält dieses Toolkit alle Programme, die Partner benötigen, um Kennwörter zu versiegeln und auf andere Computer zu übertragen, die über ein Netzwerk verbunden sind, und um schließlich die Ransomware korrekt bereitzustellen.

Bemerkenswertes Muster bei Dharma-Ransomware-Angriffen

Während der Forschung und Analyse durch Sophos haben sie ein Muster bei Dharma-Angriffen festgestellt, bei dem eine Gruppe von Partnern häufig viele Schritte ausführt, während sie das Toolkit verwenden. Die folgenden Schritte umfassen:

  • Der Angreifer hat das Toolbelt-Skript (toolbelt.ps1 -it 1) gestartet.
  • delete-avservices.ps1
  • GMER (gamer.exe)
  • Installieren und Starten von ProcessHacker
  • Ausführen von processhacker-2.39-setup.exe
  • Ausführen von processhacker.exe
  • : javsec.exe (Mimikatz / NL Brute Wrapper)
  • ipscan2.exe (erweiterter IP-Scanner)
  • mstsc.exe
  • takeaway.exe (Ransomware-Paket)
  • ührt winhost.exe (Dharma) aus
  • führt purgememory.ps1 aus
  • ns2.exe (Netzwerkscan)

Laut Forschern wurde auch festgestellt, dass RaaS seine Dokumentation zur Bereitstellung des Toolkits zur seitlichen Verbreitung des Lösegeldangriffs seitlich über ein Netzwerk verwendet. Sie müssen sagen, dass sie eine Reihe von Fällen von Angriffen gesehen haben, und es scheint, dass die Dokumentation den Partnern wahrscheinlich eine Reihe von Schritten bietet, die sie befolgen sollten, um die Bedrohung einzusetzen.

Mit der Erstellung eines neuen Toolkits durch Dharma-Entwickler können sie problemlos mehr potenzielle Partner gewinnen, und dieser größere Pool von Distributoren ermöglicht es ihnen, die Malware problemlos weltweit zu verbreiten, um eine große Anzahl von Opfern leicht anzusprechen, und diesen Ansatz zu verfolgen kann den Verlust kleinerer Lösegeldbeträge leicht ausgleichen, indem das Angriffsvolumen erhöht wird.