Спецпроекты

Выпущен набор хакера-вымогателя для тех, кто не умеет программировать

ПО Безопасность

Новый инструментарий RaaS-шифровальщика Dharma позволяет успешно атаковать чужие ресурсы даже самым слабо подготовленным киберзлоумышленникам.

Я не халявщик

Операторы шифровальщика-вымогателя Dharma опубликовали набор инструментов, упрощающий совершение кибератак до предела.

Набор инструментов Toolbelt базируется на скрипте PowerShell, который при запуске позволяет злоумышленнику скачать и запустить на целевой машине набор различных инструментов с удаленного рабочего стола (\\tsclient\e). Этот удаленный ресурс, судя по всему, предоставляется операторами Dharma.

Пользователь Dharma вводит число, соответствующее любому из 62 операций, которые шифровальщик может выполнять. Необходимые исполняемые файлы будут загружаться и запускаться автоматически.

Dharma сам по себе работает по модели Ransomware-as-a-Service (шифровальщик как услуга), то есть подразумевается возможность осуществления атак всеми желающими — операторы получают лишь комиссию с каждой успешной атаки (30-40%).

chajniki600.jpg
Арендуемый шифровальщик создал инструменты для полных «чайников»

Естественно, у разработчиков возникает повод сделать шифровальщик как можно более общедоступным, так чтобы даже люди с минимальной технической подготовкой могли успешно атаковать жертв и вымогать у них деньги. Впрочем, на сегодняшний день большинство RaaS-шифровальщиков в качестве партнеров предпочитают брать только проверенных хакеров. Например, как указывает BleepingComputer, операторы REvil интервьюируют своих потенциальных участников партнерской программы, чтобы удостовериться в их квалификации.

Dharma в этом плане действует как раз наоборот максимально «демократично»: в «партнеры» допускают даже тех, кто ничего не понимает в кибервзломах. Вдобавок, типичная сумма выкупа у Dharma намного ниже, чем у других RaaS — около $9 тыс., даже если атакуются корпоративные ресурсы.

Бесплатные и законные отмычки

Инструменты Toolbelt вроде Mimikatz (для сбора паролей), Nir Soft Remote Desktop Pass View (для кражи RDP-паролей), HashSuiteToolsFree (для выгрузки хэшей) позволяют злоумышленнику скрытно разведывать ресурсы целевой сети, пока он не найдет подходящий для развертывания шифровальщика компьютер.

Эксперты Sophos, исследовавшие Toolbelt, отметили, что, скорее всего, все партнеры Dharma используют один и тот же либо очень похожие инструменты и во всех случаях используют одну и ту же схему атаки. Кроме того, в Sophos полагают, что своим партнерам операторы Dharma предоставляют и всю документацию с описанием, как использовать предлагаемые инструменты.

«По сути Dharma предлагает партнерство очень широкому кругу потенциальных преступников, то есть работает принцип “мелкого, но много”, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Service. — Такая модель может быть не менее прибыльной, чем более высокотехнологичные атаки с огромными суммами выкупа, которые еще и не каждая компания способна выплатить. И еще вопрос, кто опаснее — виртуозы целевых атак, или script-kiddies (начинающие хакеры), которые выполняют чужие пошаговые инструкции “как взломать чужую сеть”. В конце концов, все инструменты для скрытного передвижения по сети — это вполне легальные программы. Если защитная система на что-то и среагирует, то только на подозрительные паттерны поведения».