Ирански хакери атакуват Remote Desktop Protocols за внедряване на Dharma ransomware
Нискоквалифицирани хакери, най – вероятно от Иран, са се присъединили към бизнеса с ransomware, насочен към компании в Русия, Индия, Китай и Япония. Те правят лесни удари, използвайки обществено достъпни инструменти в своята дейност.
Новата група внедрява Dharma ransomware. Въз основа на криминалистични артефакти, това е несъвършена, финансово мотивирана банда, която е нова за киберпрестъпността.
Аматьори на работа
Бандата не е алчна. Те искат между 1-5 биткойна (в момента 11 700 – $ 59 000), което е в най -ниския диапазон на исканията за откуп.
Те намират жертви чрез сканиране на диапазоните на IP адреси в интернет за открити връзки на отдалечен работен плот (RDP); техният инструмент за избор на този етап е Masscan, порт скенер с отворен код.
След това те стартират NLBrute, помощна програма, която опитва списък с пароли за RDP в опит да се намери комбо, което да работи. Веднъж влезли, те понякога се опитват да повишат привилегиите, като използват стара уязвимост (CVE-2017-0213) в Windows 7 до 10.
Изследователи по киберсигурност научиха за тази нова група през юни по време на ангажимент за реагиране на инциденти в компания в Русия. Въз основа на криминалистични артефакти те определят нападателя като „хакери – новобранци с говорим език фарси“.
В подкрепа на това заключение са улики от следващите стъпки на атаката, от които личи, че липсват знания какво да се направи след успшно нарушаване на мрежата.
Допълнително доказателство, че операцията е дело на скрипт от Иран, идва от заявки за търсене на персийски език за намиране на други инструменти, необходими за нападението, и от каналите на персийски език на Telegram, които ги предоставят.
Броят на жертвите, поразени от тази банда, остава неизвестен, точно като пътя, който я е довел до инструмента Dharma ransomware-as-a-service (RaaS).
Въпреки това, като се има предвид, че операторите на Dharma предоставят инструментариум, който улеснява всеки, който иска да се превърне в киберпрестъпник, не би трябвало да е изненада, че неопитни лица разгръщат този злонамерен софтуер за криптиране на файлове.
Олег Скулкин, старши анализатор по киберсигурност от Русия, казва, че изтеклият по невнимание на престъпниците през март изходен код на Dharma, обяснява и по-широкото използване на този щам на зловреден софтуер.
Изненадващо е обаче използването на злонамерен софтуер за финансова печалба от иранска група. В исторически план кибер активността от този регион е свързана с подкрепяни от държавата шпионажни и саботажни операции.
„Изненадващо е, че Dharma се появи в ръцете на аматьорска иранска група, която я използва за финансова изгода, тъй като Иран традиционно е страна на държавно спонсорирани хакери, участващи в атаки за шпионаж и саботаж, но не и за рекет“ – заявява Олег Скулкин.
По материали от чуждестранния печат