TOP Malware Series: Dharma Ransomware

Actualizado: 5 de ago de 2020

¿Qué es Dharma?

Dharma opera bajo modalidad RaaS (Ransomware-as-a-Service), visto por primera vez en Agosto de 2017, distribuyéndose por diferentes medios en Internet; principalmente por campañas de correo electrónico con archivos adjuntos, software legítimo suplantado y campañas de explotación de RDP. Su objetivo principal es cifrar la información en el mayor numero de equipos para luego exigir un rescate económico por la recuperación de los activos digitales.

CrySis/Dharma fue la segunda variante de ransomware con más rentabilidad en Internet, generando un aproximado de $24.48 millones de noviembre de 2016 a noviembre de 2019. Eso representó solo el 40% de las ganancias obtenidas por el líder, Ryuk, pero también fue tres veces más que el ganador número tres, BitPaymer.

Características de Dharma

• Cifra los archivos utilizando AES.256 y las keys con RSA-1024
• Roba información personal y de la organización.
• Dharma recibe contante actualizaciones en su cifrado y código interno.
• Explota vulnerabilidad CVE-2018-8453 para obtener privilegios en el sistema.
• Cuenta con más de 60 variantes que tiene como base CrySIS.
• Los rescates de los activos digitales va entre $500 a $1500 dolares.

Distribución de Dharma

Al principio, se observó que el Dharma Ransomware se propagaba mediante campañas maliciosas de spam, tomando como contenido del correo mensajes relacionados a facturas, documentos y enlaces a sitios de confianza. Sin embargo, a medida que más usuarios y organizaciones han comenzado a tener conciencia sobre esas amenazas, las campañas vía correo electrónico han perdido su efectividad a lo largo de este tiempo.

Los operadores detrás de Dharma se han adaptado a este nuevo tiempo y han estado utilizando dos métodos. Entre ellos se encuentran la explotación del protocolo RDP mediante la vulnerabilidad BlueKeep y el usar software legitimo que dentro de su código estuviera comprometido.

Flujo de Infección

Indicadores de Compromiso

Extensiones usados por Dharma

.crysis, .dharma, billetera, .java, .adobe, .viper1, .write, .bip, .zzzzz, .viper2, .arrow, .gif, .xtbl, .onion, .bip, .cezar, .combo, .cesar, .cmb, .AUF, .arena, .brrr, .btc, .cobra, .gamma, .heets, .java, .monro, .USA, .bkp, .xwx, .btc, .best, .bgtx , .boost, .heets, .waifu, .qwe, .gamma, .ETH, .bet, ta, .air, .vanss, .888, .FUNNY, .amber, .gdb, .frend, .like, .KARLS, .xxxxx, .aqva, .lock, .korea, .plomb, .tron, .NWA, .AUDIT, .com, .cccmn, .azero, .Bear, .bk666, .fire, .stun, .myjob, .ms13, .war, .carcn, .risk, .btix, .bkpx, .he, .ets, .santa, .gate, .bizer , .LOVE, .LDPR, .MERS, .bat, .qbix, .aa1 y .wal

Hashes

D2B41D2C94CF17B98EB33ACF952DB627F37D74AE1F78B65D53EE4D5B92F55A0D
D24A4AEC99B0AD9263CFC616D35EE2A7845D70F3AB894C8816294BFCE7C5B01E
C733FC63B5C896BD4F09048FE656CAAE2A5B15EB21F4889D988DA244FC4DE5C1
0B26E9D89C64BDFF3C01B05EDBF80ECF86F879D1B8CD0C66F267B6F2A2021513
E589257B8AD21635E0B1CF15B0936F939B19153806C3DCB9D502853525977817
669C60A8287E318B3607A153BA6A29F36697578FEF1EC4CB5228393479C19830
2C37C48E249258C88A75C508CD3DF9707796D7608BAE86DF6C47CF3F0B81200A
9C44B57F17C2509FAD760B9EC09E17EFCA9B92BD7B0A4688725D22854E01B6C3
212F40888BE2791A81A603600ADF9A6A0A92486EBDB2FE90AE760ED90A092F59
78E5D4D5371A8676A0F622A3C1D14A26D2F3C0F43E5475913F08CAA9FB04616F
23AF9527DA7EABDAC8EBB7449CE6F23811BCF1CE5EAE02CA10AC032EB423631D
2F2E75AFFE9217C7211043936678FB1777E2DB4A8F1986B8805DDB1E84E9E99B
A2369AA6AF898B3DA1E73381FBC2160C2382929AFCBFFEF858E757CA129FE1E0
E876A27C5D3C0A66C22E411A7917525C00742AC0CBCAD712D3BADE4903D21FB7
307077D1A3FD2B53B94D88268E31B0B89B8C0C2EE9DBB46041D3E2395243F1B3
7570A7A6830ADE05DCF862D5862F12F12445DBD3C0AD7433D90872849E11C267
1F6245DC02C1F2391B72E539E2DD873881F9AA586D8FC7657BF16D0401882447
82BA384A75FBFC0DD1745B0ABF08E04B976A13FDC39CBC6277219BB6273BF6EC
142455D258397E1B26DE9BF49EF45930FCD2F8E7DD9BD7368B8D544DA5B9C5C4
0EB5BDA64ADE42C24DA3813F4E7D02A4E06BE877223F662FDEF65A9CBBD1BBAF

CVE usado por actores de Dharma

• CVE-2019-0708

Recomendaciones de seguridad

• Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
• Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
• No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
• No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
• Manténgase informado de las últimas amenazas y riesgos en Internet.
• Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
• Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados

• https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/
• https://www.mcafee.com/enterprise/es-es/threat-center/threat-landscape-dashboard/ransomware-details.dharma-ransomware.html
• https://www.cert.gov.py/index.php/noticias/herramienta-para-desencriptar-archivos-encriptados-por-crysisdharmawallet
• https://any.run/malware-trends/dharma
• https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/

Camilo Mix

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.