El ransomware Dharma 2.0 continúa causando estragos con una nueva variante

Tiempo de leer: 5 minutos

El equipo de seguridad cibernética de Comodo revela el funcionamiento interno de la última cepa de esta amenaza persistente

El equipo de Comodo Cyber Security investiga constantemente el último ransomware para ayudar a proteger mejor a nuestros usuarios y compartir nuestros hallazgos con las comunidades más amplias de netsec y antivirus. Hoy nos gustaría contarles acerca de una versión más nueva del ransomware llamada Dharma versión 2.0.

El malware apareció por primera vez en 2016 bajo el nombre de CrySIS. Apuntó a los sistemas Windows y encripta los archivos de las víctimas con fuertes algoritmos AES-256 y RSA-1024, antes de exigir un rescate en Bitcoins. Al igual que con prácticamente todas las cepas de ransomware, los archivos son completamente irrecuperables sin la clave de descifrado, y la víctima debe pagar el rescate para obtener la clave.

El troyano Dharma se entrega mediante contraseñas débiles de fuerza bruta en las conexiones RDP, o haciendo que la víctima abra un archivo adjunto de correo electrónico malicioso. El primer método implica que el atacante escanee el puerto 3389 para buscar conexiones que usen el protocolo RDP. Una vez que se encuentra un objetivo, el atacante intenta iniciar sesión en la conexión probando automáticamente diferentes contraseñas de una gran biblioteca de contraseñas conocidas, hasta que una de ellas funcione. A partir de ahí, el atacante tiene control completo sobre la máquina de destino y ejecuta el ransomware Dharma manualmente en los archivos del usuario.

El último método es un ataque clásico por correo electrónico. La víctima recibe un correo electrónico que parece provenir de su proveedor de antivirus de la vida real. Contiene una advertencia sobre el malware en su máquina y les indica que instalen el archivo antivirus adjunto para eliminar la amenaza. Por supuesto, el archivo adjunto no es un programa antivirus, es Dharma 2.0, que luego encripta los archivos del usuario y exige un rescate para desbloquearlos.

En febrero de 2020, el equipo de Seguridad Cibernética de Comodo descubrió la última evolución de este malware, Dharma 2.0. Esta versión contiene la funcionalidad de cifrado y rescate de las versiones anteriores, pero también contiene una puerta trasera adicional que otorga capacidades de administración remota. Echemos un vistazo a los detalles de Dharma 2.0, con la ayuda del equipo de seguridad cibernética de Comodo.

Jerarquía de ejecución de procesos de Dharma 2.0

El árbol de ejecución del malware se muestra en la captura de pantalla a continuación, con 'Wadhrama 2.0.exe' al principio de la lista:

El malware utiliza la utilidad de modo de dispositivo DOS para recopilar información sobre el teclado de la víctima y elimina las instantáneas de sus archivos. El comando 'vssadmin delete shadows / all / quiet' se usa comúnmente en ransomware para eliminar puntos de restauración de Windows existentes, robando al usuario una copia de seguridad de sus archivos:

Sin las instantáneas, los usuarios no pueden restaurar sus archivos a menos que tengan una copia de seguridad externa de terceros. Muchas empresas tienen tales copias de seguridad, pero un número alarmante no.

Después de cifrar todos los archivos en la computadora, el atacante ahora necesita una forma de comunicar sus instrucciones a la víctima. Lo hace mediante el uso de 'mshta.exe' para abrir 'Info.hta' como una ejecución automática con el comando

'C: UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartupInfo.hta'.

'Info.hta' es el archivo que contiene la nota de rescate:

"¡Todos sus archivos han sido encriptados!"

Análisis dinámico de Dharma 2.0

Wadhrama 2.0.exe crea dos archivos sql, 'about.db' y 'about.db-journal' en <% usersadministratorappdatalocaltemp%>. Crea una copia de sí mismo en <% system32%>, <% startup%> y agrega la extensión '[bitlocker@foxmail.com] .wiki' al final de todos los archivos cifrados:

c: usersadministratorappdatalocaltempabout.db
c: usersadministratorappdatalocaltempabout.db-journal
c: windowssystem32Wadhrama 2.0.exe
c: usersadministratorappdataroamingmicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c: programdatamicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500desktop.ini.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: bootbootstat.dat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c: bootsect.bak.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-coffice64ww.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: config.sys.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-csetup.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: autoexec.bat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$r1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$i1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki

Análisis estático de Dharma 2.0

El equipo de ciberseguridad probó la complejidad de cifrado de Dharma 2.0 creando tres archivos de texto idénticos de 5 líneas con el siguiente contenido:

Llamamos a los tres archivos como 'autorun.inf', 'boot.sdi' y 'bootsect.exe' y los trasladamos a una ubicación diferente. Debido a que todos los archivos son del mismo tipo, tamaño y tienen el mismo contenido, todos comparten la misma firma SHA1: 9ea0e7343beea0d319bc03e27feb6029dde0bd96.

Esta es una captura de pantalla de los archivos antes del cifrado por Dharma:

Después del cifrado, cada uno tiene un tamaño de archivo y firma diferentes:

Carga útil de Dharma 2.0

Dharma 2.0 crea dos archivos de base de datos llamados 'about.db' y 'about.db-journal' en '<% AppData%> \ local \ temp'. Los archivos son archivos SQLite y contienen lo siguiente

tablas - 'configuración' y 'mapa de teclas'. Las bases de datos permiten comandos de administración remota como / eject / eject , / runas / runas , / syserr / syserr , / url / url ,

/ runscreensaver / runscreensaverd, / shutdisplay / shutdisplayd, / edithost / edithostsd,

/ restart / restard, / shutdown / shutdownd / logoff / logoffd, / lock / lockd, / quit / quitd, / config / configd

/ about / aboutd.

• Dharma 2.0 crea dos objetos mutex llamados 'Global \ syncronize_261OR3A' y 'Global \ syncronize_261OR3U'. Los objetos Mutex limitan la cantidad de procesos que pueden acceder a un dato específico. Esto bloquea efectivamente los datos de otros procesos para que el cifrado pueda continuar sin interrupciones.

• Dharma 2.0 busca las siguientes extensiones de archivo para cifrar:
◦ Formatos de archivo de documentos personales: 'doc (.doc; .docx, .pdf; .xls; .xlss; .ppt;)'
◦ Formato de archivos de almacenamiento: 'arc (.zip; .rar; .bz2; .7z;)'
◦ Formato de archivos de base de datos: 'dbf (.dbf;)'
◦ Formato de archivo de cifrado SafeDis: '1c8 (.1cd;)'
◦ Formato de archivo de imagen: 'jpg (.jpg;)'

• También busca bases de datos, correo y software de servidor conocidos:

◦'1c8.exe; 1cv77.exe; outlook.exe; postgres.exe; mysqld-nt.exe; mysqld.exe; sqlservr.exe; '

◦ 'FirebirdGuardianDefaultInstance; FirebirdServerDefaultInstance; sqlwriter; mssqlserver; Sqlserveradhelper;'

• Dhama 2.0 se copia en tres ubicaciones diferentes
◦ '% appdata%'
◦ '% windir% \ system32'
◦ '% sh (Inicio)%'

• Crea una tubería, '% comspec%', con el comando 'C: \ windows \ system32 \ cmd.exe':

• Recopila detalles sobre archivos de arranque como 'boot.ini', 'bootfont.bin' y otros:

• El texto de la nota de rescate se guarda en un archivo llamado 'ARCHIVOS ENCRIPTADOS.txt':

• 'Info.hta' para mostrar el mensaje de rescate a la víctima:

• La extensión de cifrado se extrae del búfer '. [Bitlocker@foxmail.com]'

• Dharma crea una versión encriptada del archivo original con la nueva extensión:

• Posteriormente, elimina el archivo original y repite el ciclo hasta que cada unidad y archivo haya sido encriptado. Los archivos finales, encriptados, tienen el siguiente aspecto:

• Este es el mensaje de rescate que se muestra a la víctima la próxima vez que inician su computadora: