A Sophos publicou recentemente o estudo “Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack”, que oferece a primeira análise aprofundada do script de ataque automatizado e do kit de ferramentas criado pelos operadores de ransomware e fornecido aos cibercriminosos, juntamente com infraestrutura de back-end e ferramentas maliciosas. O relatório também demonstra como a Dharma procura, em 2020, atingir pequenas médias empresas (PME).
A Dharma é conhecida desde 2016 e é uma das famílias de ransomware mais lucrativas que existem, devido ao seu modelo de negócios baseado em serviços e direccionado para o mercado de massas. Várias iterações do seu código-fonte foram colocadas online ou à venda, por isso actualmente existem muitas variantes do mesmo.
Os principais alvos dos ataques RaaS Dharma analisados pela Sophos foram PMEs, sendo que 85% dos ataques em 2020 se focaram em ferramentas de acesso expostas, como o Remote Desktop Protocol (RDP). Esta última conclusão pertence à empresa de recuperação de ransomware Coveware, que também descobriu que os pedidos de resgate Dharma eram geralmente bastante baixos, numa média de cerca de 8.620 dólares.
“O ransomware Dharma é um ‘franchising de fast-food’: ampla e facilmente disponível para praticamente qualquer pessoa”, afirmou Sean Gallagher, Senior Threat Researcher da Sophos. “As ofertas de ransomware-as-a-service da Dharma expandem o leque de pessoas que podem levar a cabo ataques de ransomware devastadores. Isso, por si só, já seria preocupante em tempos normais, mas neste momento, com muitas empresas a adaptar-se à pandemia e a acomodar a necessidade de um suporte rápido para trabalhadores remotos – e ainda com as equipas de TI a trabalhar no seu limite –, o risco destes ataques é amplificado. A necessidade de equipar e habilitar uma força de trabalho que se tornou remota inesperadamente deixou as empresas de menor dimensão com infraestruturas e dispositivos vulneráveis, e dificultou a capacidade de monitorização e gestão de sistemas por parte da equipa de suporte de TI, que não o pode fazer da forma mais adequada e como era seu costume.”
Tal como é destacado no relatório da Sophos, assim que os clientes Dharma – conhecidos como affiliates – tenham comprado as ferramentas e comprometido o seu alvo, eles confiam quase totalmente num script Power Shell guiado por menus, que instala e executa os componentes necessários para espalhar o ransomware pela rede do alvo. Quando o master script é executado, identifica-se a si mesmo como “Toolbox” e dá início ao ataque com a mensagem “Have fun, bro!”.
O processo de ataque depende fortemente do abuso de ferramentas open source, bem como de versões gratuitas de software de ferramentas comerciais.
A desencriptação é um processo em duas fases surpreendentemente complexo: os alvos que contactem os affiliates para obter recovery keys recebem, numa primeira fase, uma ferramenta que extrai os detalhes de todos os seus ficheiros encriptados.
Então, os afilliates partilham estes dados extraídos com os seus operadores, que fornecem uma chave de desencriptação de segunda fase para os ficheiros.
De acordo com a investigação, o grau de eficácia deste processo para realmente recuperar os dados das vítimas depende, em grande parte, das capacidades e vontade dos affiliates. Como exemplo, a Sophos encontrou, ocasionalmente, affiliates que mantiveram para si algumas das chaves, utilizando-as como arma para fazer em pedidos de resgate adicionais.
“Com tantos pedidos de resgate de vários milhões de dólares, tantos vítimas de alto perfil e tantas notícias sobre adversários mais avançados, como o WastedLocker, pode ser fácil esquecermos que ameaças como a Dharma estão vivas e de boa saúde. Mais do que isso: elas permitem que todo um outro nível de cibercriminosos atinja vários alvos de menor dimensão e arrecade uma fortuna, 8.000 dólares de cada vez”, afirmou Gallagher.
