Dharma Cryptolocker, ecco quello che devi sapere

I virus come Dharma (chiamati anche ransomware) hanno preso piede e si sono diffusi a macchia d’olio in particolare nel 2020.
Nel 2021 si è mantenuto il trend e in definitiva, i ransomware si affermano letteralmente come i malware più pericolosi e dannosi.

Secondo i dati forniti dall’ultimo rapporto Clusit gli attacchi ransomware nel 2020 hanno avuto il loro punto di massima  pericolosità ed espansione nei mesi di marzo, aprile, maggio e giugno. Questo periodo coincide esattamente con la diffusione delle direttive impartite dal governo per lo scoppio della Pandemia da Covid 19. In quei mesi, molte aziende e attività hanno introdotto la soluzione dello smart working come nuova modalità operativa.

L’introduzione del lavoro da remoto ha generato caos all’interno dei sistemi informatici, facendo emergere le loro vulnerabilità di sicurezza. Molti malware hanno approfittato dell’esposizione per attaccare le reti di un gran numero di aziende con risultati davvero allarmanti: Dharma ransomware è risultato la tipologia di malware ad aver causato più danni in assoluto.

Dharma CryptoLocker o Dharma ransomware è il malware che nel 2020 e nei primi mesi del 2021 ha causato circa 1/4 degli attacchi ransomware in Italia.

Il malware tuttavia non è così “giovane” come si potrebbe pensare. Le sue origini risalgono ai primi mesi del 2016 quando il team di Trend Micro rileva per la prima volta l’infezione. La peculiarità del virus che sin dal primo momento si rileva è che Dharma riesce in completa autonomia ad installarsi sul dispositivo della vittima insieme ad un software legittimo.

Come tutti i ransomware, Dharma è un malware programmato per installarsi a bordo di un dispositivo (server o pc in genere) e criptare tutto il suo contenuto tramite crittografia asimmetrica. Quando il ransomware entra in contatto con qualsiasi risorsa del computer (file o cartelle) la rinomina, le cambia estensione e la rende illeggibile e ancor peggio, inaccessibile.

Una volta che il virus ha ultimato questa fase di crittazione, passa a fornirvi la richiesta di riscatto. A differenza di altri ransomware, tra cui anche il leggendario Cryptolocker, Dharma Ransomware non sostituisce anche lo sfondo del desktop del vostro pc ma vi inoltra la richiesta di riscatto tramite un file i testo denominato: Readme.txt. 

La richiesta di riscatto di Dharma Cryptolocker, secondo le statistiche, è inferiore rispetto a quella di altri suoi simili ma anche perché notoriamente,

il virus Dharma colpisce le piccole aziende.

1. Che cos’è Dharma Cryptolocker?

2. Come si diffonde tra gli utenti Dharma virus?

3. Esempio e-mail Dharma Cryptolocker

4. Come identificare per tempo l’attacco

5. Come rimuovere il ransomware

6. Si può decriptare la chiave utilizzata da Dhama Cryptolocker

La stragrande maggioranza degli attacchi di Dharma virus si diffonde attraverso 3 modalità:

• Attacchi al protocollo di Desktop remoto;
• Invio di e-mail per convincere la vittima ad aggiornare il proprio Software Antivirus;
• Invio di e-mail infette tramite PEC;

Di seguito analizziamo brevemente le tre tecniche di diffusione del virus:

Tramite servizio Desktop Remoto

Il vettore d’attacco RDP è tra i preferiti dal malware Dharma poiché spesso volentieri queste tecnologie presentano uno scarso livello di protezione.
Inoltre, i servizi di connessione desktop remoto sono accessibili attraverso autenticazione (tramite credenziali): poiché questi servizi sono stati largamente sfruttati in periodo di pandemia Covid-19, gli hacker facevano leva sugli attacchi di brute force per forzare le credenziali deboli degli utenti e accedere alla rete tramite RDP. Una volta in rete, il ransomware s’installava e cominciava la sua opera.

Tramite e-mail di aggiornamento antivirus

Il team di hacker che segue lo sviluppo di Dharma ricorre all’invio di e-mail di spam per infettare le sue vittime. L’oggetto dell’email è quasi sempre legato all’aggiornamento del proprio antivirus. L’oggetto dell’e-mail è: MSC-ALERT – IMPORTANT!

Nell’immagine qui allegata potete avere un chiaro esempio di e-mail inviata da Dharma ransomware.

Il messaggio invita l’utente vittima a cliccare sul pulsante Download per aggiornare e verificare la funzionalità dell’antivirus.

Chiaramente si tratta di un inganno bello e buono, considerato che quando l’utente clicca sul contenuto dell’email viene automaticamente scaricato il file Defender.exe seguito da altri due file : si tratta del payload del Dharma virus. Quando tutti e tre i file sono finalmente a bordo dispositivo, il virus inizia il suo processo di crittografia dei contenuti. Il ransomware riesce ad ingannare l’attenzione dell’utente mostrandogli una finta schermata di Antivirus Remover.

Questo permette sostanzialmente a Dharma di completare il suo lavoro restando completamente silente.

Fonte

Come per molti altri ransomware prima di lui, Dharma virus può diffondersi tra le vittime anche tramite messaggio di posta elettronica certificata (PEC). Il meccanismo di installazione e diffusione del malware è il medesimo che si applica al messaggio di e-email normale.

Dharma virus è unico nel suo genere pertanto, riconoscerlo non è per niente un lavoro complesso: anche se vi auguriamo che questa disgrazia non vi colpisca mai e poi mai.

Ad ogni modo, se la vostra azienda è stata colpita da Dharma, vedrete comparire un messaggio di questo tipo sullo schermo del vostro computer:

All your files have been encrypted! 

L’avviso della presenza del malware che vi apparirà sarà simile a questo:

Il messaggio inviato da Dharma Cryptolocker più comune è quello allegato nell’immagine qui sopra. Il testo viene suddiviso in 4 sezioni di colore diverso e tutte riportano informazioni specifiche.

La prima sezione bianca

La vittima viene informata che i suoi file sono stati tutti crittografati. Viene chiesto di inviare un’e-mail all’indirizzo e-mail fornito e di inserire il proprio ID univoco nell’oggetto del messaggio. Questo perché l’autore della minaccia dovrà identificarli. Viene specificato che la vittima dovrà pagare il riscatto in Bitcoin e la cifra dovuta cambierà a seconda di quanto sarete veloci a rispondere all’hacker. Dopo il pagamento l’attaccante provvederà a restituire un tool per decifrare i file rubati.

La seconda sezione blu: decrittazione gratuita come garanzia

L’hacker dà la possibilità di decrittare un file gratuitamente come prova. Questo processo serve per confermare alla vittima che dopo il pagamento, otterrà lo strumento di decrittazione per davvero.

La terza sezione blu: come ottenere Bitcoin

Come procurarsi la somma in Bitcoin per pagare Dharma Cryptolocker?

Ve lo spiega l’attaccante in questa sezione. .

La quarta sezione rossa: Attenzione!

Altrimenti definita la sezione delle minacce dell’hacker. Attraverso questi 3 punti, l’attaccante vi spiega quali cose è meglio non fare: pena, la cancellazione dei vostri file.

1. “Non rinominare file crittografati”

2. “Non provare a decifrare i tuoi dati utilizzando software di terze parti. Potrebbe causare la perdita permanente dei dati.”

3. “La decrittazione dei tuoi file con l’aiuto di terze parti può causare un aumento del prezzo (aggiungono il loro prezzo al nostro), oppure puoi diventare vittima di una truffa.”

Ma non è finita qui: il ransomware provvede a criptare tutti i file con i seguenti formati:

.png .psd .psp .tga .thm .tif .tiff .yuv .ai .eps .ps .svg .indd .pct .pdf .xlr .xls .xlsx .accdb .db .dbf .mdb .pdb .sql .apk .app .bat .cgi .com .exe .gadget .jar .pif .wsf .dem .gam .nes .rom .sav .dwg .dxf.gpx .kml .kmz .asp .aspx .cer .cfm .csr .css .htm .html .js .jsp .php .rss .xhtml. doc .docx .log .msg .odt .pages .rtf .tex .txt .wpd .wps .csv .dat .ged .key .keychain .pps .ppt .pptx .ini .prf .hqx .mim .uue .7z .cbr .deb .gz .pkg .rar .rpm .sitx .tar.gz .zip .zipx .bin .cue .dmg .iso .mdf .toast .vcd sdf .tar .tax2014 .tax2015 .vcf .xml .aif .iff .m3u .m4a .mid .mp3 .mpa .wav .wma .3g2 .3gp .asf .avi .flv .m4v .mov .mp4 .mpg .rm .srt .swf .vob .wmv 3d .3dm .3ds .max .objr.bmp .dds .gif .jpg ..crx .plugin .fnt .fon .otf .ttf .cab .cpl .cur .deskthemepack .dll .dmp .drv .icns .ico .lnk .sys .cfg, .bz2, .1cd

Come per (quasi) tutti gli altri ransomware è impossibile rimuovere Dharma Cryptolocker dal dispositivo infetto e recuperare istantaneamente tutti i file sottratti. Questo perché il ransomware utilizza un algoritmo AES 256 e persino la chiave AES è crittografata con un RSA 1024: insomma, è impossibile da decifrare.

Ecco perché se Dharma vi attacca, l’unico modo per arginare la sua azione è quella di isolare immediatamente il dispositivo infettato prima che l’infezione riesca a diffondersi in rete. Successivamente, il nostro consiglio è quello di affidarvi ad un’azienda specializzata in sicurezza e rimozione ransomware affinché vi guidi passo dopo passo nelle azioni da intraprendere.

Purtroppo nessun antivirus o antimalware possono aiutarvi nel ripristinare i file che sono stati attaccati dal ransomware, pertanto, non vi resta che formattare il dispositivo e ripristinare la versione di backup più recente che avete.

Tuttavia, per evitare che questo genere di malware entri in contatto con i vostri dispositivi aziendali vi consigliamo sempre di effettuare dei check-up di sicurezza dei sistemi informatici: i Vulnerability Assessment. Leggete il nostro approfondimento sul tema.

In questo articolo ti abbiamo parlato di Ransomware Dharma: purtroppo la prudenza non basta nel caso di questi malware.
Ecco per quale motivo dovresti rivolgerti a specialisti del settore.

Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles.

Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing.