ZDNet relatórios que o código-fonte de um dos ransomware mais lucrativos do nosso tempo, o ransomware Dharma, foi colocado à venda em dois fóruns de hackers no fim de semana passado. As fontes são vendidas por $2,000.
Deixe-me lembrá-lo que este ano o FBI classificou o Dharma como o segundo ransomware mais lucrativo dos últimos anos durante seu relatório na conferência e RSA. Portanto, de novembro 2016 a novembro 2019, operadores de ransomware receberam $24 milhão em resgate de suas vítimas.
O ransomware mais perigoso do ano passado, eu me lembro, foi chamado Emotet.
“A venda atual do código do Dharma provavelmente resultará em breve em um vazamento para o público. Aquilo é, o malware estará disponível para um público mais amplo. Esse, por sua vez, levará a uma ampla distribuição de código-fonte entre muitos grupos de hackers, e isso será seguido por uma onda de ataques”, – ZDNet cita um especialista em segurança da informação não identificado.
No entanto, o chefe do departamento de inteligência cibernética da McAfee disse ao ZDNet que o código Dharma já circula entre os hackers há muito tempo, e agora acabou de chegar em fóruns públicos.
Ao mesmo tempo, o especialista expressou esperança de que mais cedo ou mais tarde o código-fonte caia nas mãos de especialistas em segurança da informação, e isso ajudará a identificar as deficiências do malware e a criar decodificadores.
“O Dharma existe desde 2016, e o ransomware subjacente a este malware foi originalmente chamado de CrySiS. Funcionou no Ransomware-as-a-Service (RaaS) esquema, aquilo é, outros criminosos poderiam criar suas versões de malware para distribuir, geralmente por meio de campanhas de spam, kits de exploração, ou força bruta RDP”, – notaram repórteres da ZDNet.
No fim de 2016, um usuário com o apelido crss7777 postou nos fóruns do Bleeping Computer um link para Pastebin contendo chaves mestras do criptografador CrySiS, qual, como os especialistas estabeleceram mais tarde, eram genuínos. Depois disso, CrySiS deixou de existir, “renascer” como Dharma.
Embora as chaves do Dharma tenham sofrido o mesmo destino em 2017, desta vez, os operadores de ransomware não mudaram de marca e continuaram a trabalhar, eventualmente transformando seu RaaS em um dos ransomware mais populares do mercado.
"Então, nos últimos anos, Dharma recebe atualizações regularmente. Por exemplo, em 2018 e 2019, o submundo do crime adaptou-se às novas tendências e passou da distribuição em massa de ransomware através de spam de correio para ataques direcionados a redes corporativas. O mesmo fizeram os operadores do Dharma”, – diz a publicação ZDNet.
Note-se que na primavera de 2019, uma nova cepa do ransomware Phobos apareceu na rede, usado principalmente para ataques direcionados. Pesquisadores em Coveware e Malwarebytes notei que é quase idêntico ao Dharma. No entanto, ao mesmo tempo, O Dharma não deixou de existir e continuou trabalhando em paralelo com Fobos. Por exemplo, Especialistas em Avast percebido três novas versões do Dharma na semana passada.