Tiefe Einblick in das automatisierte Dharma-Angriffsskript liefert der Report „Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack“. Er bezieht sich zudem auf das Toolset, das Cyber-Kriminellen von den Ransomware-Erstellern, inklusive der Back-End-Infrastruktur und weiteren schädlichen Tools, zur Verfügung gestellt wird. Der Bericht veranschaulicht zudem, wie Dharma im Jahr 2020 kleine und mittlere Unternehmen (KMUs) ins Visier nimmt.
Dharma ist aufgrund seines dienstleistungsbasierten Massenmarkt-Geschäftsmodells eine der profitabelsten Ransomware-Familien überhaupt. Verschiedene Iterationen seines Quellcodes wurden online veröffentlicht oder zum Verkauf angeboten, so dass heute viele Varianten des Codes existieren.
Laut den Analysen von Sophos sind die Hauptziele der Dharma RaaS-Angriffe kleine und mittelgroße Unternehmen (KMU). 85 Prozent der Angriffe im Jahr 2020 konzentrierten sich auf Tools mit ungeschütztem Zugriff, wie beispielsweise das Remote Desktop Protocol (RDP). Zu diesen Erkenntnissen kam das Ransomware-Recovery-Unternehmen Coveware, das zudem herausfand, dass die Dharma-Lösegeldforderungen mit durchschnittlich 8.620 Dollar recht niedrig sind.
„Dharma ist eine Fast-Food-Franchise-Ransomware. Sie ist weit verbreitet und für fast jeden leicht zugänglich”, sagt Michael Veit, Security-Spezialist bei Sophos. „Die Dharma Ransomware-as-a-Service-Angebote erweitern den Kreis der Personen, die Lösegeld-Angriffe ausführen können, deutlich. In normalen Zeiten ist dies schon beunruhigend genug. Aber gerade jetzt, wo sich viele Unternehmen der COVID-19-Pandemie anpassen müssen, viele Mitarbeiter remote beziehungsweise im Home-Office arbeiten und das IT-Personal dünn gesät ist, werden die Risiken dieser Angriffe noch größer. Die Notwendigkeit, Mitarbeiter mit Remote-Arbeitsplätzen zu versorgen hat anfällige Infrastrukturen und Endgeräte zur Folge, insbesondere bei kleineren Unternehmen. Die Dringlichkeit der Lage behindert das IT-Personal dabei, Systeme angemessen zu überwachen und zu verwalten.“
Laut des Sophos-Reports verlassen sich Dharma-„Kunden“ – auch Affiliates genannt –, sobald sie die Tools gekauft und ihr Ziel gefährdet haben, fast ausschließlich auf ein menügesteuertes PowerShell-Skript. Dieses installiert und startet die Komponenten, die zur Verbreitung von der Ransomware im Zielnetzwerk erforderlich sind. Wenn das Master-Skript ausgeführt wird, identifiziert es sich als „Toolbox“ und startet den Angriff mit der Meldung „Have fun, bro!“.
Der Angriffsprozess stützt sich in hohem Maße auf den Missbrauch von Open-Source-Tools sowie auf Freeware-Versionen kommerzieller Werkzeuge. Die Entschlüsselung ist ein überraschend komplexer zweistufiger Prozess. Betroffene, die sich an Affiliates wenden, um Wiederherstellungsschlüssel zu erhalten, bekommen in der ersten Stufe ein Tool, das Details aller verschlüsselten Dateien extrahiert.
Die Affiliates geben diese extrahierten Daten anschließend an ihre Dienstleister weiter, die in der zweiten Stufe einen Entschlüsselungs-Code für die Dateien bereitstellen. Wie effektiv dieses Verfahren bei der tatsächlichen Wiederherstellung von Daten ist, hängt den Nachforschungen zufolge stark von den Fähigkeiten und der Stimmung der Mitgliedsorganisationen ab. Beispielsweise beobachtete Sophos gelegentlich, dass Partner einige der Schlüssel als Druckmittel zurückhielten, um zusätzliche Lösegeldforderungen zu stellen.
„Bei so vielen Lösegeldforderungen in Höhe von mehreren Millionen Dollar, hochkarätigen Zielen und fortgeschrittenen Gegnern wie WastedLocker sind Bedrohungen wie Dharma sehr aktuell. Sie ermöglichen es einer ganzen anderen Gruppe von Cyber-Kriminellen, mehrere kleinere Ziele zu treffen und so ein Vermögen zu scheffeln, achttausend Dollar auf einmal”, sagt Veit.
Als Tipps zur Verteidigung bringt man bei Sophos die folgenden Aspekte ins Spiel:
- Abschalten des Remote-Desktop-Protokoll (RDP), um Cyber-Kriminellen den Zugang zu Netzwerken zu verwehren. Wenn RDP dringend benötigt wird, sollte es hinter einer VPN-Verbindung stehen.
- Es sollte ein vollständiges Inventar aller im Netzwerk verbundenen Geräte zur Verfügung stehen. Neueste Sicherheits-Updates sollten installiert werden, sobald diese veröffentlicht sind, und zwar auf allen Geräten und Servern im Netzwerk.
- Regelmäßige Backups der wichtigsten und aktuellsten Daten sollten auf einem Offline-Speicher angelegt werden.
- Frühindikatoren für Ransomware-Angreifer sollten beachtet werden, um Ransomware-Attacken zu stoppen.
- Für die Sicherheit existiert kein Patentrezept. Ein mehrschichtiges, tiefgreifendes Sicherheitskonzept für die Verteidigung ist unerlässlich. (rhh)