El código fuente del ransomware Dharma aparece a la venta en foros de piratería


Código fuente de Dharma

Imagen: ZDNet

El código fuente de una importante cepa de ransomware llamada Dharma se puso a la venta en dos foros de hackers rusos durante el fin de semana.

El FBI, en una charla en la conferencia de seguridad de RSA este año, clasificó a Dharma como la segunda operación de ransomware más lucrativa en los últimos años, habiendo extorsionado más de $ 24 millones en pagos de víctimas entre noviembre de 2016 y noviembre de 2019.

Ahora, su código fuente se vende a un precio tan bajo como $ 2,000, lo que tiene a los investigadores de seguridad al límite.

Varios expertos en ransomware que hablaron con ZDNet hoy dijeron que la venta del código de ransomware Dharma probablemente resultaría en su eventual filtración en Internet público y a un público más amplio. Esto, a su vez, daría lugar a una proliferación más amplia entre múltiples grupos de delitos informáticos y un eventual aumento de los ataques.

La razón de las preocupaciones de todos es que Dharma es una variedad avanzada de ransomware, creada por un autor experto en malware. Su esquema de cifrado es muy avanzado y no se puede descifrar desde 2017.

Para ser más precisos, las únicas veces que el ransomware fue «descifrado» fue después de que desconocidos filtraron las claves maestras de descifrado, y no debido a una falla de cifrado.

Una breve historia del Dharma.

La operación del ransomware Dharma tiene una historia larga y sinuosa. Inicialmente comenzó bajo el nombre de CrySiS en el verano de 2016.

CrySis period una operación llamada Ransomware-as-a-Services (RaaS). El autor de CrySiS creó un servicio donde los clientes (otras pandillas criminales) podían generar sus propias versiones del ransomware para distribuir a las víctimas, generalmente a través de campañas de spam, kits de explotación o ataques de fuerza bruta en los puntos finales de RDP.

Despues de alguien filtró las claves de descifrado maestras CrySiS en línea en noviembre de 2016, el CrySiS RaaS se relanzó bajo el nombre de Dharma dos semanas después.

Mientras que algunas claves de descifrado maestras de Dharma eran También se filtró en línea en marzo de 2017, Los operadores de Dharma no cambiaron su marca esta vez y continuaron operando sin interrupciones, convirtiendo su RaaS en una de las soluciones llave en mano de ransomware más grandes en el inframundo felony.

Durante años, ha habido un flujo constante de nuevas versiones de Dharma, ya que el ransomware recibió actualizaciones y nuevos clientes se registraron para distribuirlo por todo el mundo, cada uno extendiendo su propia variación única de Dharma.

A medida que el underground prison se adaptó en 2018 y 2019, desde la distribución masiva de ransomware (a través de correo electrónico no deseado) hasta ataques dirigidos (en redes corporativas), también lo hizo Dharma.

En la primavera de 2019, una nueva cepa de ransomware llamada Phobos surgió en línea, utilizada principalmente en ataques dirigidos. Investigadores de seguridad de Coveware y Malwarebytes se apresuraron a señalar que Phobos era casi idéntico a Dharma.

Pero Dharma no se extinguió una vez que se lanzó la nueva sucursal de Phobos. Michael Gillespie, un investigador de malware en Emsisoft, y el creador de ID-Ransomware, le dijo a ZDNet que las cargas al servicio ID-Ransomware se mantuvieron alrededor de 50-50 para Dharma y Phobos durante todo el año pasado.

dharma-phobos.png "height =" auto "width =" 370 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2020/03/29/bc4adefb-4a9d-4d7b-b266-3e151df117f7 /resize/370xauto/4f5571ee7888aab6e3aebb956b6b1eaa/dharma-phobos.png

Detecciones de ID-Ransomware para Dharma (arriba) y Phobos (abajo)

Imagen: MalwareHunterTeam

Estas estadísticas también son confirmadas por la firma de seguridad cibernética Coveware, que dijo en un informe que Dharma representó el 9.3% de los incidentes de ransomware en el cuarto trimestre de 2019, mientras que Phobos representó el 10.7%.

Jakub Kroustek, amenaza de inteligencia en Avast, visto tres nuevas versiones de Dharma solo esta semana, lo que significa que los grupos criminales todavía encuentran confiable el código de Dharma y continúan usándolo incluso hoy, más de tres años después de su lanzamiento.

John Fokker, jefe de investigaciones cibernéticas en McAfee, dijo ZDNet que el código de Dharma ya había estado circulando en el hacker subterráneo durante bastante tiempo y que solo ahora está apareciendo en más foros públicos.

Gillespie, quien lanzó decenas de descifradores de ransomware en el pasado y tiene incluso recibió un premio del FBI por sus esfuerzos, dicho ZDNet no ha podido encontrar fallas de descifrado en Dharma en el pasado.

Fokker ahora espera que el código fuente de Dharma finalmente llegue a manos de investigadores de seguridad.

«Si nosotros (los buenos) podemos tener acceso a la fuente, podríamos encontrar algunos defectos», dijo Fokker ZDNet hoy.





Enlace a la noticia original