Durante il fine settimana è stata messa in diffusione una nuova variante della famiglia ransomware Dharma, riconoscibile perché modifica l'estensione dei file criptati in .brr. Il primo a darne notizia è stato il ricercatore di sicurezza Jakub Kroustek che ha twittato il link ad un campione del ransomware su VirusTotal.
Attualmente non c'è possibilità di decriptare gratuitamente i file attaccati da Brr Dharma Ransomware.
Come si diffonde
Come ogni membro della famiglia Dharma, anche la variante Brr viene installata manualmente sulla
Come ogni membro della famiglia Dharma, anche la variante Brr viene installata manualmente sulla
macchina bersaglio: l'infezione passa dall'hackeraggio del Remote Desktop Service connesso direttamente a Internet. Gli attaccanti eseguono costantemente scansioni in Internet in cerca di computer con l'RDP in esecuzione, solitamente sulla porta TCP 3389, quindi eseguono un attacco di brute force per individuare la password. In alcuni casi invece vengono usate credenziali conosciute per computer accessibili pubblicamente e che eseguono servizi di desktop remoto attaccabili: queste credenziali sono acquistabili su svariati siti "underground".
Una volta ottenuto l'accesso al sistema, il ransomware viene installato e eseguito. Il ransomware tenterà anche la diffusione, quindi la criptazione, di eventuali altri sistemi nella stessa rete.
Come cripta i file
Quando la variante Brr di Dharma viene installata sul computer, per prima cosa esegue una scansione della macchina in cerca di file da criptare. Terminata la routine di criptazione, i file avranno subito modifiche sia al nome sia all'estensione secondo lo schema .id-[id].[email].brrr.
Alcuni esempi sono visibili sotto
Facciamo notare che questo ransomware cripterà anche i drive di rete mappati, le condivisioni di rete non mappate e le macchine virtuali condivise. Consigliamo di assicurarsi che le condivisioni di rete siano chiuse e che le permissioni di accesso siano garantite solo a chi ne abbia davvero necessità.
La nota di riscatto
Una volta criptati i file, il ransomware creerà due diverse note di riscatto sul computer infetto. Una è il file Info.hta, che viene lanciato in autorun quando un utente esegue il login al sistema. La versione HTML della nota di riscatto è visibile sotto
L'altra nota si chiama FILES ENCRYPTED.txt e viene salvata sul Desktop.
Entrambe le versioni contengono informazioni su cosa è accaduto sui file delle vittime e come contattare la mail paydecryption@qq.com per ottenere istruzioni per il pagamento.
Infine il ransomware configurerà se stesso per avviarsi automaticamente ad ogni login su Windows. Ogni nuovo file creato verrà quindi criptato.
Come proteggersi dal ransomware Dharma Brr
Dato che questo rasnomware si diffonde tramite i servizi di Desktop Remoto, è molto importante che questi siano ben protetti e opportunamente chiusi. Per garantire questo è necessario che non vi siano computer nella rete che eseguono servizi di desktop remoto connessi direttamente a Internet. La cosa migliore da fare è "nascondere" i computer che eseguono i servizi RDP dietro connessioni VPN accessibili solo da coloro che dispongono di un account VPN sulla rete. E' anche importante impostare appropriati criteri di blocco degli account, per ridurre più possibile il rischio di successo di eventuali brute force attack.
Ovviamente ricorda di dotarti di un software antivirus che garantisca protezione multi livello e che abbia anche funzioni di individuazione comportamentale e non solo individuazioni tramite firma o euristiche: in caso di malware molto offuscati, soltanto strumenti di verifica delle attività in corso possono individuare le attività dannose e i file che le originano, anche se apparentemente legittimi.
Infine la certezza di recupero dei file si ha solo se si dispone di copie ben difese: organizzare un backup ricorrente dei file è molto utile, nonché l'unico strumento (quasi) del tutto sicuro per il recupero dei file.
Nessun commento:
Posta un commento