A Sophos publicou recentemente o estudo “Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack“, que fornece a primeira análise aprofundada de um script de ataque automatizado e o conjunto de ferramentas criado pelos operadores de ransomware. Ele é fornecido aos compradores cibercriminosos junto com infraestrutura de back-end e ferramentas maliciosas. O relatório também mostra como a Dharma está visando as pequenas e médias empresas (PMEs) em 2020.
O Dharma é conhecido desde 2016 e é uma das tecnologias de ransomware mais lucrativas do mercado, devido ao seu modelo de negócios baseado em serviços para o mercado em massa. Várias sequências de seu código-fonte foram despejadas on-line ou oferecidas para venda, portanto, existem muitas variantes do código.
Os principais alvos dos ataques Dharma RaaS que a Sophos analisou são PMEs, com 85% deles vistos em 2020 com foco em ferramentas de acesso expostas, como Remote Desktop Protocol (RDP). Esse dado é da empresa de recuperação de ransomware, Coveware, que também descobriu que os pedidos de resgate do Dharma eram geralmente baixos: em média US$8.620.
“Dharma é um ransomware similar a uma franquia de fast-food: ampla e facilmente disponível para praticamente qualquer pessoa”, afirma Sean Gallagher, pesquisador sênior da Sophos. “As ofertas do Dharma RaaS expandem a gama de pessoas que podem executar ataques devastadores, o que já é suficientemente preocupante em tempos normais. Mas agora, com muitas empresas se adaptando à pandemia e acomodando a necessidade de suporte rápido para funcionários remotos, e equipes de TI cada vez mais escassas, os riscos desses ataques são ampliados. A necessidade de equipar e habilitar uma força de trabalho remota de forma inesperada deixou pequenas empresas vulneráveis em termos de infraestrutura e dispositivos e impedindo que a capacidade da equipe de suporte de TI pudesse monitorar e gerenciar os sistemas da maneira que normalmente fariam” explica o pesquisador.
Conselhos para defensores
• Desligue o protocolo de desktop remoto (RDP) voltado para a Internet para impedir o acesso de cibercriminosos às redes. Se você precisar de acesso ao RDP, coloque-o atrás de uma conexão VPN;
• Verifique se você tem um inventário completo de todos os dispositivos conectados à sua rede e sempre instale as atualizações de segurança mais recentes, assim que forem lançadas, em todos os dispositivos e servidores da sua rede;
• Mantenha backups regulares de seus dados mais importantes e atuais em um dispositivo de armazenamento offline;
• Esteja ciente dos cinco primeiros indicadores de que um invasor está presente para impedir ataques de ransomware;
• Lembre-se de que não existe uma solução mágica única para a segurança, e um modelo de segurança de defesa profunda em camadas é essencial.