Alerta de segurança: Novas ameaças do Ransomware Dharma não são detectadas pela maioria dos mecanismos de antivírus.

Netranet

5 anos atrás

Blog Netranet Networking | Segurança da Informação - Alerta de segurança: Novas ameaças do Ransomware Dharma não são detectadas pela maioria dos mecanismos de antivírus.

Alerta de segurança: Novas ameaças do Ransomware Dharma não são detectadas pela maioria dos mecanismos de antivírus.

O ransomware Dharma é uma das mais antigas famílias de ransomware existentes e ainda assim causa estragos, não detectados pela maioria das soluções de segurança.

Em Outubro e novembro foram vistos o aparecimento de pelo menos quatro novas linhagens.

Se esta tendência continuar, os usuários que confiam apenas no antivírus para proteção de ransomware estarão em risco de perder seus dados para sempre, pois não há ferramenta de descriptografia livre para as novas cepas de ransomware Dharma (CrySiS).

Este mês, o pesquisador de segurança Jakub Kroustek encontrou algumas novas variantes de ransomware Dharma que criptografaram os arquivos da vítima com uma extensão “.betta” ou “.xxxxx”. Eles pediram que o resgate fosse pago para o endereço de e-mail “backtonormal@foxmail.com” ou “syndicateXXX@aol.com”.

Apesar de Jakub Kroustek postar suas descobertas sobre o resgate @foxmail em 19 de outubro, até 8 de novembro, apenas 45 dos 68 antivírus detectaram o arquivo malicioso que ele descobriu, como você pode verificar no VirusTotal.

Em uma nova pesquisa, outro novo tipo de ransomware Dharma, que não é detectado por quase todas as soluções de segurança.

Blog Netranet Networking | Segurança da Informação – Ransomware Dharma.

Isso representa um enorme risco para os usuários domésticos e organizações sem camadas adequadas de segurança e conscientização.

E sim, é o mesmo cibercriminoso ou grupo de criminosos associados ao endereço de e-mail backtonormal@foxmail.com.

Quão ruim é isso?

Apenas três mecanismos antivírus detectaram esta nova ameaça até o presente momento, veja o resultado no VirusTotal.

Embora alguns detalhes associados a ele tenham sido sinalizados por pesquisadores como maliciosos por quase 2 anos, devido à natureza do ransomware Dharma, os níveis de detecção são extremamente baixos.

Mesmo quando se usa a ferramenta de verificação de malware Jotti, apenas 1 dos 15 scanners de malware detecta essa perigosa cepa de ransomware.

Esta investigação começou com um .exe mal-intencionado lançado através de um arquivo .NET e outro arquivo .HTA associado, que, uma vez descompactado, direciona a vítima a pagar um resgate de Bitcoin para o endereço de e-mail backtonormal@foxmail.com.

Verificamos novamente o arquivo HTA usando o ID-ransomware, uma ferramenta que avalia a nota de resgate, e o resultado veio como pertencente ao Dharma (família de ransomware .cezar).

O pesquisador de segurança Michael Gillespie alertou para a intensificação em 2017. Agora, ele também encontrou uma cepa Dharma Ransomware que usa um conta-gotas .NET para se espalhar. Uma vez que ele atinge um dispositivo desprotegido, ele criptografará todos os arquivos com uma extensão “.tron“, exigindo que o pagamento seja feito nos endereços de e-mail xtron@cock.li ou xtron@fros.cc.

Ele enviou as descobertas para o VirusTotal em 6 de novembro e, no momento em que este alerta de segurança foi escrito, apenas 28 dos 66 mecanismos antivírus eram capazes de detectar esse arquivo malicioso.

Como a infecção acontece:

O vetor de infecção para este ransomware Dharma em particular tem sido o RPD do Windows (Remote Desktop Protocol). O executável mal-intencionado não explora vulnerabilidades, mas usa um comportamento semelhante a um cavalo de Tróia.

Agentes mal-intencionados usarão ferramentas como scanners de portas remotas para escanear computadores corporativos, procurando pontos de terminação habilitados para RDP que os funcionários usem normalmente para fazer o login remotamente.

Então, quando eles encontrarem um ponto de extremidade habilitado para RDP, os criminosos tentarão logar adivinhando o nome do administrador e a força bruta atacando a senha. Quando isso acontecer, os criminosos copiarão e executarão a cepa de ransomware. Como eles geralmente têm direitos de administrador, os criminosos podem até desativar essas proteções, portanto senhas fortes são essenciais.

As cepas de ransomware Dharma associadas ao endereço de pagamento do resgate backtonormal@foxmail.com codificarão formatos de dados, incluindo, mas não se limitando a:

.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, .sql, .7z, .m4a, .rar, .wma, .gdb, .tax , .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic,. bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip , .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff,. vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc , .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer,. der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw , .Dfr, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd,. dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps.

A maioria das infecções por ransomware Dharma ocorre localmente e as cepas que descobrimos seguem o mesmo padrão.

E aí vem a pior notícia: mesmo que você pague o resgate, o invasor não descriptografará seus arquivos.

Essa variedade de malware e outras semelhantes nunca tentarão se conectar a centros de comando e controle mal-intencionados. Ele irá gerar sua chave de criptografia localmente, sem enviá-lo de volta ao atacante, por isso é uma chave falsa.

Blog Netranet Networking | Segurança da Informação – Sophos InterceptX . Conheça a melhor proteção contra ransomware do mundo.

Como se manter seguro contra o ransomware Dharma?

A única maneira de estar seguro contra ransomware é defender pro ativamente seus dispositivos fazendo backup de suas informações com frequência e usando várias camadas de segurança, não apenas antivírus. Uma solução antiransomware como o Sophos InterceptX que pode trabalhar com outros antivírus é uma solução eficaz contra este tipo de ataque.

Para o ransomware Dharma em particular, senhas fortes e autenticações de dois fatores são obrigatórias, pelas razões descritas acima.

As mais recentes cepas de ransomware Dharma (CrySis) não possuem ferramentas de descriptografia disponíveis, então, neste caso, a prevenção supera a cura. Para segurança online, recomendamos que você siga estas medidas de segurança anti-ransomware:

Sempre faça backup de seus dados em vários locais. Use fontes externas, como um disco rígido ou na nuvem (Google Drive, Dropbox, etc.) para armazená-lo.
Sempre mantenha seu software atualizado para as versões mais recentes, já que malwares e ransomwares geralmente têm como alvo programas e aplicativos desatualizados.
Mantenha senhas fortes para qualquer conta que você usa, seja pessoal ou em um ambiente de negócios. Em um nível corporativo, o ransomware Dharma pode comprometer um endpoint através de ataques de força bruta, a fim de obter acesso e executar o arquivo malicioso.
Não abra e-mails de spam ou baixe ou copie anexos, links ou arquivos de fontes desconhecidas que possam infectar seu computador.
Para proteção contra cepas comuns de ransomware, considere o uso de várias camadas de segurança. O antivírus deve ser a base, mas você também deve ter soluções de segurança pró-ativas e antimalware com análise comportamental. Seu navegador deve ter proteções como adblockers no lugar.
Tendo em vista o surgimento de novos tipos de malware, lembramos que a segurança não é apenas o uso de todas as ferramentas de segurança mais recentes, mas também a educação, para que você possa identificar melhor atividades suspeitas. Esses recursos educacionais gratuitos podem ajudá-lo a obter mais conhecimento no campo da segurança cibernética.
Caso você seja infectado pelo ransomware (Dharma ou outros arquivos), antes de tentar descriptografar, copie seus arquivos criptografados e mantenha uma cópia segura. Dessa forma, se uma ferramenta de descriptografia de ransomware se tornar disponível no futuro, você poderá restaurar seus arquivos.
Por fim, nunca pague o resgate. Como você pode ver, não há garantia e quase nenhuma chance de recuperar seus dados.

Você é um pesquisador de segurança e identificou ainda mais variantes do Dharma nos últimos meses? Gostaríamos muito de ouvir sua opinião, então, por favor, entre em contato conosco. Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.