Sophos untersucht Dharma Ransomware-as-a-Service-Angriffe

Sophos untersucht Dharma Ransomware-as-a-Service-Angriffe

ID: 1836946

Kleine und mittelständische Unternehmen sind während der globalen COVID-19-Pandemie besonders betroffen



(PresseBox) - Sophos hat heute seinen neuen Report "Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack" veröffentlicht. Der Report gibt erstmals einen tiefen Einblick in das automatisierte Angriffsskript und das Toolset, das Cyberkriminellen von den Ransomware-Erstellern inklusive der Back-End-Infrastruktur und weiteren schädlichen Tools zur Verfügung gestellt wird. Der Bericht veranschaulicht zudem, wie Dharma im Jahr 2020 kleine und mittlere Unternehmen (KMUs) ins Visier nimmt.

Dharma ist seit 2016 bekannt und ist aufgrund seines dienstleistungsbasierten Massenmarkt-Geschäftsmodells eine der profitabelsten Ransomware-Familien überhaupt. Verschiedene Iterationen seines Quellcodes wurden online veröffentlicht oder zum Verkauf angeboten, so dass heute viele Varianten des Codes existieren.

Laut den Analysen von Sophos sind die Hauptziele der Dharma RaaS-Angriffe kleine und mittelgroße Unternehmen (KMU). 85 Prozent der Angriffe im Jahr 2020 konzentrierten sich auf Tools mit ungeschütztem Zugriff, wie beispielsweise das Remote Desktop Protocol (RDP). Zu diesen Erkenntnissen kam das Ransomware-Recovery-Unternehmen Coveware, das zudem herausfand, dass die Dharma-Lösegeldforderungen mit durchschnittlich 8.620 US-Dollar recht niedrig sind.

?Dharma ist eine Fast-Food-Franchise-Ransomware. Sie ist weit verbreitet und für fast jeden leicht zugänglich", sagt Michael Veit, Security-Spezialist bei Sophos. ?Die Dharma Ransomware-as-a-Service-Angebote erweitern den Kreis der Personen, die Lösegeld-Angriffe ausführen können, deutlich. In normalen Zeiten ist dies schon beunruhigend genug. Aber gerade jetzt, wo sich viele Unternehmen der COVID-19-Pandemie anpassen müssen, viele Mitarbeiter remote beziehungsweise im Home-Office arbeiten und das IT-Personal dünn gesät ist, werden die Risiken dieser Angriffe noch größer. Die Notwendigkeit, Mitarbeiter mit Remote-Arbeitsplätzen zu versorgen hat anfällige Infrastrukturen und Endgeräte zur Folge, insbesondere bei kleineren Unternehmen. Die Dringlichkeit der Lage behindert das IT-Personal dabei, Systeme angemessen zu überwachen und zu verwalten.?



Laut dem Sophos-Report verlassen sich Dharma-?Kunden? ? auch Affiliates genannt ?, sobald sie die Tools gekauft und ihr Ziel gefährdet haben, fast ausschließlich auf ein menügesteuertes PowerShell-Skript. Dieses installiert und startet die Komponenten, die zur Verbreitung von der Ransomware im Zielnetzwerk erforderlich sind. Wenn das Master-Skript ausgeführt wird, identifiziert es sich als ?Toolbox? und startet den Angriff mit der Meldung ? Have fun, bro!?.

Der Angriffsprozess stützt sich in hohem Maße auf den Missbrauch von Open-Source-Tools sowie auf Freeware-Versionen kommerzieller Werkzeuge. Die Entschlüsselung ist ein überraschend komplexer zweistufiger Prozess. Betroffene, die sich an Affiliates wenden, um Wiederherstellungsschlüssel zu erhalten, bekommen in der ersten Stufe ein Tool, das Details aller verschlüsselten Dateien extrahiert. Die Affiliates geben diese extrahierten Daten anschließend an ihre Dienstleister weiter, die in der zweiten Stufe einen Entschlüsselungs-Code für die Dateien bereitstellen. Wie effektiv dieses Verfahren bei der tatsächlichen Wiederherstellung von Daten ist, hängt den Nachforschungen zufolge stark von den Fähigkeiten und der Stimmung der Mitgliedsorganisationen ab. Beispielsweise beobachtete Sophos gelegentlich, dass Partner einige der Schlüssel als Druckmittel zurückhielten, um zusätzliche Lösegeldforderungen zu stellen.

?Bei so vielen Lösegeldforderungen in Höhe von mehreren Millionen Dollar, hochkarätigen Zielen und fortgeschrittenen Gegnern wie WastedLocker sind Bedrohungen wie Dharma sehr aktuell. Sie ermöglichen es einer ganzen anderen Gruppe von Cyberkriminellen, mehrere kleinere Ziele zu treffen und so ein Vermögen zu scheffeln, achttausend Dollar auf einmal", sagt Veit.

Tipps zur Verteidigung 

Abschalten des Remote-Desktop-Protokoll (RDP), um Cyberkriminellen den Zugang zu Netzwerken zu verwehren. Wenn RDP dringend benötigt wird, sollte es hinter einer VPN-Verbindung stehen.

Es sollte ein vollständiges Inventar aller im Netzwerk verbundenen Geräte zur Verfügung stehen. Neueste Sicherheits-Updates sollten installiert werden, sobald diese veröffentlicht sind, und zwar auf allen Geräten und Servern im Netzwerk.

Regelmäßige Backups der wichtigsten und aktuellsten Daten sollten auf einem Offline-Speicher angelegt werden.

Frühindikatoren für Ransomware-Angreifer sollten beachtet werden, um Ransomware-Attacken zu stoppen.

Für die Sicherheit existiert kein Patentrezept. Ein mehrschichtiges, tiefgreifendes Sicherheitskonzept für die Verteidigung ist unerlässlich.

Weitere Informationen: SophosLabs Uncut

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
drucken  als PDF  Wahre Schönheit kommt von innen: Doppelt ausgezeichneter 27 ICY DOCK Buying Guide: Wechselrahmen für 2,5\
Bereitgestellt von Benutzer: PresseBox
Datum: 13.08.2020 - 11:53 Uhr
Sprache: Deutsch
News-ID 1836946
Anzahl Zeichen: 4998

Kontakt-Informationen:
Stadt:

Wiesbaden



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 339 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Sophos untersucht Dharma Ransomware-as-a-Service-Angriffe"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


Wahre Schönheit kommt von innen: Doppelt ausgezeichneter 27"-4K-Monitor Philips 279C9 ...
Amsterdam, 13. August 2020 - MMD, führendes Technologieunternehmen und Markenlizenzpartner für Philips Monitore, kündigt sein neues LCD-Display Philips 279C9 an. Der 68,47 cm (27") Monitor erfüllt höchste Ansprüche für produktive Menschen, die Spaß an ihrer Arbeit haben. Und wer hätte

ICY DOCK Buying Guide: Wechselrahmen für 2,5" SSD/HDD&Optische Laufwerke ...
Mit dem ToughArmor MB604SPO-B stellt ICY DOCK einen robusten Hot Swap Wechselrahmen für 4x SATA/SAS SSDs und HDDs von bis zu 9,5mm Bauhöhe und 1x Slim 12,7mm oder Ultra-Slim 9,5mm CD/DVD/Blu-ray ROM Laufwerk in einem 5,25" Einbauschacht vor. Dieser ist komplett aus Metall gefertigt und entwic

Wie Kleinunternehmer und Freiberufler ihr Handwerk vor Internetrisiken Schützen können ...
Deutschland hat durch die Corona-Pandemie einen Digitalisierungsschub erlebt. Auf der einen Seite schreitet die digitale Transformation und somit die Digitalisierung neuer Geschäftsfelder weiter schnellen Schrittes voran. Auf der anderen Seite hat die aktuelle Situation Cyberkriminelle unterschiedl

Magento 2: Zahlungsdienst Novalnet aktualisiert Payment-Modul für Zahlungsabwicklung ...
Sicherheit sowie ein einfaches Handling im Bereich Payment ist für Online-Händler enorm wichtig. Um den Anforderungen der Händler Genüge zu leisten, hat der Zahlungsdienstleister Novalnet AG nun ein neues Zahlungsmodul für die Onlineshop-Software Magento auf den Markt gebracht. Die Novalnet AG


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z