Dharma Ransomware如何成为一个有效的服务业务

虽然赎金软件的大部分注意力都集中在迷宫，Revil / SodInokibi和Wastedlocker等企业杀戮菌株上，但达尔玛等其他瑞马等瑞马人继续茁壮成长，并已成为地下网络犯罪服务业务的中心，据揭示佛法如何将自己作为服务（RAAS）作为有效和有利可图的赎金软件。

在标题上编号的报告中：在Dharma Raas攻击中，Sophos高级威胁研究员研究员Sean Gallagher对Dharma的自动攻击脚本和工具集共享了新的，深入了解，这些攻击脚本和工具集正在为网络刑事买家提供小型和中型企业（中小企业）。

“随着这么多百万美元的赎金需求，高调的目标和先进的对手，如浪费锁主现在正在制作头条新闻，它很容易忘记像佛法一样的威胁是活着的，并使整个其他网络犯罪分子击中较少的较小目标在财富，一次八千美元耙，“Gallagher说。

自2016年出现以来，达尔玛已将其成为最有利可图的赎金之一，这是由于其大众市场，基于服务的商业模式。Gallagher将其描述为“快餐特许经营权”，并表示广泛而且很容易可用于任何想要它的人。

“Dharma的赎金软件AS-Service产品提供了可以执行毁灭性赎金软件攻击的人的范围。这在正常时期本身就足够了。但是现在，随着许多企业适应大流行，适应快速支持偏远工人，而IT人员伸展薄，这些攻击的风险放大，“他说。

“需要装备和启用意外的远程劳动力，使小公司留有脆弱的基础设施和设备，并阻碍了它支持人员充分监控和管理系统的能力。”

易用性在Dharma Raas商业模式的核心处，这使得对中小企业特别危险。它的支持者为客户提供一揽子预建脚本和工具，并采取相对较少的技术技能来运营，利用内部Windows工具，合法的第三方免费软件，知名的安全工具和公开的利用，通过定制PowerShell集成，批量集成和autoit脚本。

这延长了佛法的运营商的范围，让他们在其客户的利润 - 谁在地下论坛上支付约2,000美元的达尔玛 - 做违反网络的驴工作，丢弃赎金软件，并为受害者运行“客户服务”。

对于受害者，解密是一个相当复杂的任务，适用于两个阶段。如果您联系Dharma接受恢复密钥，您将获得一个第一阶段的工具，提取所有加密文件的详细信息。然后，联盟会员将使用Dharma的运算符共享此提取数据，然后为文件提供第二阶段解密密钥。当然，这一过程在恢复数据的效果是如何争论的，并且很多就会骑取技能，甚至是联盟的心情。

这意味着最好在发生之前停止攻击，或者确保您受到保护，足以忽略它并重新开始。

Gallagher说，大多数Dharma联盟攻击可以通过确保远程桌面协议（RDP）服务器有效地钝化 - 易受攻击的RDP服务器的开发落后于大约85％的达尔玛攻击 - 并在虚拟专用网络（VPN）后面具有多因素身份验证。

中小企业也应该通过网络钓鱼攻击来提醒凭证盗窃 - 尤其是遥控工作仍然是规范，并注意他们自己的IT服务提供商和可能有权访问其系统的其他第三方。