Sophos untersucht Dharma Ransomware-as-a-Service-Angriffe
ID: 1836946
Kleine und mittelständische Unternehmen sind während der globalen COVID-19-Pandemie besonders betroffen
Dharma ist seit 2016 bekannt und ist aufgrund seines dienstleistungsbasierten Massenmarkt-Geschäftsmodells eine der profitabelsten Ransomware-Familien überhaupt. Verschiedene Iterationen seines Quellcodes wurden online veröffentlicht oder zum Verkauf angeboten, so dass heute viele Varianten des Codes existieren.
Laut den Analysen von Sophos sind die Hauptziele der Dharma RaaS-Angriffe kleine und mittelgroße Unternehmen (KMU). 85 Prozent der Angriffe im Jahr 2020 konzentrierten sich auf Tools mit ungeschütztem Zugriff, wie beispielsweise das Remote Desktop Protocol (RDP). Zu diesen Erkenntnissen kam das Ransomware-Recovery-Unternehmen Coveware, das zudem herausfand, dass die Dharma-Lösegeldforderungen mit durchschnittlich 8.620 US-Dollar recht niedrig sind.
?Dharma ist eine Fast-Food-Franchise-Ransomware. Sie ist weit verbreitet und für fast jeden leicht zugänglich", sagt Michael Veit, Security-Spezialist bei Sophos. ?Die Dharma Ransomware-as-a-Service-Angebote erweitern den Kreis der Personen, die Lösegeld-Angriffe ausführen können, deutlich. In normalen Zeiten ist dies schon beunruhigend genug. Aber gerade jetzt, wo sich viele Unternehmen der COVID-19-Pandemie anpassen müssen, viele Mitarbeiter remote beziehungsweise im Home-Office arbeiten und das IT-Personal dünn gesät ist, werden die Risiken dieser Angriffe noch größer. Die Notwendigkeit, Mitarbeiter mit Remote-Arbeitsplätzen zu versorgen hat anfällige Infrastrukturen und Endgeräte zur Folge, insbesondere bei kleineren Unternehmen. Die Dringlichkeit der Lage behindert das IT-Personal dabei, Systeme angemessen zu überwachen und zu verwalten.?
Laut dem Sophos-Report verlassen sich Dharma-?Kunden? ? auch Affiliates genannt ?, sobald sie die Tools gekauft und ihr Ziel gefährdet haben, fast ausschließlich auf ein menügesteuertes PowerShell-Skript. Dieses installiert und startet die Komponenten, die zur Verbreitung von der Ransomware im Zielnetzwerk erforderlich sind. Wenn das Master-Skript ausgeführt wird, identifiziert es sich als ?Toolbox? und startet den Angriff mit der Meldung ? Have fun, bro!?.
Der Angriffsprozess stützt sich in hohem Maße auf den Missbrauch von Open-Source-Tools sowie auf Freeware-Versionen kommerzieller Werkzeuge. Die Entschlüsselung ist ein überraschend komplexer zweistufiger Prozess. Betroffene, die sich an Affiliates wenden, um Wiederherstellungsschlüssel zu erhalten, bekommen in der ersten Stufe ein Tool, das Details aller verschlüsselten Dateien extrahiert. Die Affiliates geben diese extrahierten Daten anschließend an ihre Dienstleister weiter, die in der zweiten Stufe einen Entschlüsselungs-Code für die Dateien bereitstellen. Wie effektiv dieses Verfahren bei der tatsächlichen Wiederherstellung von Daten ist, hängt den Nachforschungen zufolge stark von den Fähigkeiten und der Stimmung der Mitgliedsorganisationen ab. Beispielsweise beobachtete Sophos gelegentlich, dass Partner einige der Schlüssel als Druckmittel zurückhielten, um zusätzliche Lösegeldforderungen zu stellen.
?Bei so vielen Lösegeldforderungen in Höhe von mehreren Millionen Dollar, hochkarätigen Zielen und fortgeschrittenen Gegnern wie WastedLocker sind Bedrohungen wie Dharma sehr aktuell. Sie ermöglichen es einer ganzen anderen Gruppe von Cyberkriminellen, mehrere kleinere Ziele zu treffen und so ein Vermögen zu scheffeln, achttausend Dollar auf einmal", sagt Veit.
Tipps zur Verteidigung
Abschalten des Remote-Desktop-Protokoll (RDP), um Cyberkriminellen den Zugang zu Netzwerken zu verwehren. Wenn RDP dringend benötigt wird, sollte es hinter einer VPN-Verbindung stehen.
Es sollte ein vollständiges Inventar aller im Netzwerk verbundenen Geräte zur Verfügung stehen. Neueste Sicherheits-Updates sollten installiert werden, sobald diese veröffentlicht sind, und zwar auf allen Geräten und Servern im Netzwerk.
Regelmäßige Backups der wichtigsten und aktuellsten Daten sollten auf einem Offline-Speicher angelegt werden.
Frühindikatoren für Ransomware-Angreifer sollten beachtet werden, um Ransomware-Attacken zu stoppen.
Für die Sicherheit existiert kein Patentrezept. Ein mehrschichtiges, tiefgreifendes Sicherheitskonzept für die Verteidigung ist unerlässlich.
Weitere Informationen: SophosLabs Uncut
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 13.08.2020 - 11:53 Uhr
Sprache: Deutsch
News-ID 1836946
Anzahl Zeichen: 4998
Kontakt-Informationen:
Stadt:
Wiesbaden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 339 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Sophos untersucht Dharma Ransomware-as-a-Service-Angriffe"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
Wahre Schönheit kommt von innen: Doppelt ausgezeichneter 27"-4K-Monitor Philips 279C9 ...
Amsterdam, 13. August 2020 - MMD, führendes Technologieunternehmen und Markenlizenzpartner für Philips Monitore, kündigt sein neues LCD-Display Philips 279C9 an. Der 68,47 cm (27") Monitor erfüllt höchste Ansprüche für produktive Menschen, die Spaß an ihrer Arbeit haben. Und wer hätte
ICY DOCK Buying Guide: Wechselrahmen für 2,5" SSD/HDD&Optische Laufwerke ...
Mit dem ToughArmor MB604SPO-B stellt ICY DOCK einen robusten Hot Swap Wechselrahmen für 4x SATA/SAS SSDs und HDDs von bis zu 9,5mm Bauhöhe und 1x Slim 12,7mm oder Ultra-Slim 9,5mm CD/DVD/Blu-ray ROM Laufwerk in einem 5,25" Einbauschacht vor. Dieser ist komplett aus Metall gefertigt und entwic
Wie Kleinunternehmer und Freiberufler ihr Handwerk vor Internetrisiken Schützen können ...
Deutschland hat durch die Corona-Pandemie einen Digitalisierungsschub erlebt. Auf der einen Seite schreitet die digitale Transformation und somit die Digitalisierung neuer Geschäftsfelder weiter schnellen Schrittes voran. Auf der anderen Seite hat die aktuelle Situation Cyberkriminelle unterschiedl
Magento 2: Zahlungsdienst Novalnet aktualisiert Payment-Modul für Zahlungsabwicklung ...
Sicherheit sowie ein einfaches Handling im Bereich Payment ist für Online-Händler enorm wichtig. Um den Anforderungen der Händler Genüge zu leisten, hat der Zahlungsdienstleister Novalnet AG nun ein neues Zahlungsmodul für die Onlineshop-Software Magento auf den Markt gebracht. Die Novalnet AG




