Sophos untersucht Dharma-RaaS

KMUs besonders von Ransomware betroffen

18. August 2020, 08:00 Uhr   |  Anna Molder

KMUs besonders von Ransomware betroffen
© Wolfgang Traub

Der Sicherheitsanbieter Sophos hat seinen Report "Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack" veröffentlicht. Der Report gibt einen tiefen Einblick in das automatisierte Angriffs-Skript und das Tool-Set, das Ransomware-Ersteller den Cyberkriminellen inklusive der Back-End-Infrastruktur und weiteren schädlichen Tools zur Verfügung stellen. Der Bericht veranschaulicht zudem, wie Dharma im Jahr 2020 kleine und mittlere Unternehmen (KMUs) ins Visier nimmt.

Dharma ist seit 2016 bekannt und ist aufgrund seines dienstleistungsbasierten Massenmarkt-Geschäftsmodells eine der profitabelsten Ransomware-Familien. Kriminelle haben verschiedene Iterationen seines Quellcodes online veröffentlicht oder zum Verkauf angeboten, sodass heute viele Varianten des Codes existieren.

Laut den Analysen von Sophos sind die Hauptziele der Dharma-RaaS-Angriffe kleine und mittelgroße Unternehmen (KMU). 85 Prozent der Angriffe im Jahr 2020 konzentrierten sich auf Tools mit ungeschütztem Zugriff, wie beispielsweise das Remote Desktop Protocol (RDP). Zu diesen Erkenntnissen kam das Ransomware-Recovery-Unternehmen Coveware, das zudem herausfand, dass die Dharma-Lösegeldforderungen mit durchschnittlich 8.620 US-Dollar recht niedrig sind.

Laut dem Sophos-Report verlassen sich Dharma-„Kunden“ – auch Affiliates genannt –, sobald sie die Tools gekauft und ihr Ziel gefährdet haben, fast ausschließlich auf ein menügesteuertes PowerShell-Skript. Dieses installiert und startet die Komponenten, die zur Verbreitung von der Ransomware im Zielnetzwerk erforderlich sind. Wenn das Master-Skript ausgeführt wird, identifiziert es sich als „Toolbox“ und startet den Angriff mit der Meldung „Have fun, bro!“.

Der Angriffsprozess stützt sich in hohem Maße auf den Missbrauch von Open-Source-Tools sowie auf Freeware-Versionen kommerzieller Werkzeuge. Die Entschlüsselung ist ein überraschend komplexer zweistufiger Prozess. Betroffene, die sich an Affiliates wenden, um Wiederherstellungsschlüssel zu erhalten, bekommen in der ersten Stufe ein Tool, das Details aller verschlüsselten Dateien extrahiert. Die Affiliates geben diese extrahierten Daten anschließend an ihre Dienstleister weiter, die in der zweiten Stufe einen Entschlüsselungs-Code für die Dateien bereitstellen. Wie effektiv dieses Verfahren bei der tatsächlichen Wiederherstellung von Daten ist, hängt den Nachforschungen zufolge stark von den Fähigkeiten und der Stimmung der Mitgliedsorganisationen ab. Beispielsweise beobachtete Sophos gelegentlich, dass Partner einige der Schlüssel als Druckmittel zurückhielten, um zusätzliche Lösegeldforderungen zu stellen.

Im Folgenden gibt Sophos Tipps zur Verteidigung. Unternehmen sollten das Remote-Desktop-Protokoll (RDP) abschalten, um Cyberkriminellen den Zugang zu Netzwerken zu verwehren. Wenn RDP dringend benötigt ist, sollte es hinter einer VPN-Verbindung stehen. Außerdem sollte ein vollständiges Inventar aller im Netzwerk verbundenen Geräte zur Verfügung stehen. Die Installation von Sicherheits-Updates ist erforderlich , sobald diese veröffentlicht sind, und zwar auf allen Geräten und Servern im Netzwerk. Darüber hinaus rät Sophos Verantwortliche regelmäßige Backups der wichtigsten und aktuellsten Daten auf einem Offline-Speicher anlegen. Unternehmen sollten außerdem Frühindikatoren für Ransomware-Angreifer beachten, um Ransomware-Attacken zu stoppen.

Weitere Informationen stehen unter www.sophos.de zur Verfügung.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sophos GmbH

Sophos

Cyber-Angriff