Dharma Ransomware如何成为一个有效的服务业务
虽然赎金软件的大部分注意力都集中在迷宫,Revil / SodInokibi和Wastedlocker等企业杀戮菌株上,但达尔玛等其他瑞马等瑞马人继续茁壮成长,并已成为地下网络犯罪服务业务的中心,据揭示佛法如何将自己作为服务(RAAS)作为有效和有利可图的赎金软件。
在标题上编号的报告中:在Dharma Raas攻击中,Sophos高级威胁研究员研究员Sean Gallagher对Dharma的自动攻击脚本和工具集共享了新的,深入了解,这些攻击脚本和工具集正在为网络刑事买家提供小型和中型企业(中小企业)。
“随着这么多百万美元的赎金需求,高调的目标和先进的对手,如浪费锁主现在正在制作头条新闻,它很容易忘记像佛法一样的威胁是活着的,并使整个其他网络犯罪分子击中较少的较小目标在财富,一次八千美元耙,“Gallagher说。
自2016年出现以来,达尔玛已将其成为最有利可图的赎金之一,这是由于其大众市场,基于服务的商业模式。Gallagher将其描述为“快餐特许经营权”,并表示广泛而且很容易可用于任何想要它的人。
“Dharma的赎金软件AS-Service产品提供了可以执行毁灭性赎金软件攻击的人的范围。这在正常时期本身就足够了。但是现在,随着许多企业适应大流行,适应快速支持偏远工人,而IT人员伸展薄,这些攻击的风险放大,“他说。
“需要装备和启用意外的远程劳动力,使小公司留有脆弱的基础设施和设备,并阻碍了它支持人员充分监控和管理系统的能力。”
易用性在Dharma Raas商业模式的核心处,这使得对中小企业特别危险。它的支持者为客户提供一揽子预建脚本和工具,并采取相对较少的技术技能来运营,利用内部Windows工具,合法的第三方免费软件,知名的安全工具和公开的利用,通过定制PowerShell集成,批量集成和autoit脚本。
这延长了佛法的运营商的范围,让他们在其客户的利润 - 谁在地下论坛上支付约2,000美元的达尔玛 - 做违反网络的驴工作,丢弃赎金软件,并为受害者运行“客户服务”。
对于受害者,解密是一个相当复杂的任务,适用于两个阶段。如果您联系Dharma接受恢复密钥,您将获得一个第一阶段的工具,提取所有加密文件的详细信息。然后,联盟会员将使用Dharma的运算符共享此提取数据,然后为文件提供第二阶段解密密钥。当然,这一过程在恢复数据的效果是如何争论的,并且很多就会骑取技能,甚至是联盟的心情。
这意味着最好在发生之前停止攻击,或者确保您受到保护,足以忽略它并重新开始。
Gallagher说,大多数Dharma联盟攻击可以通过确保远程桌面协议(RDP)服务器有效地钝化 - 易受攻击的RDP服务器的开发落后于大约85%的达尔玛攻击 - 并在虚拟专用网络(VPN)后面具有多因素身份验证。
中小企业也应该通过网络钓鱼攻击来提醒凭证盗窃 - 尤其是遥控工作仍然是规范,并注意他们自己的IT服务提供商和可能有权访问其系统的其他第三方。