Gruppo TIM
Gruppo TIM

Il ransomware Dharma

Dharma è un pericoloso ransomware identificato già nel 2016 la cui particolarità sta tutta nella sua peculiare tecnica di attacco: il ransomware Dharma, infatti, è in grado di installarsi nel computer della vittima insieme ad un software legittimo utilizzato come scudo mimetico.

 

Che cos’è il ransomware Dharma?

Dharma, noto anche come CrySiS, è un virus di tipo ransomware “trojanizzato” ad alto rischio che prende di mira i sistemi operativi Windows ed è utilizzato dai threat actors per estorsioni contro utenti di computer domestici, ma anche organizzazioni di piccole e medie dimensioni.

Questo tipo di ransomware prende di mira principalmente ai file all’interno della directory dell’utente su Windows. 

Ogni volta che un file viene incluso nella directory, il ransomware crittografa il file e aggiunge un suffisso [bitcoin143@india.com].dharma.

L’unicità del ransomware Dharma deriva dal fatto che non attacca l’intero computer, ma si nasconde all’interno del sistema e continua a crittografare i file ogni volta che vengono aggiunti alla directory. 

Quindi, per decifrare i file, è necessario rimuoverli.

Il ransomware Dharma si è diffuso in tutto il mondo tramite campagne e-mail che si fingono “autentiche” chiedendo all’utente di scaricare un allegato protetto da password, denominato Defender.exe. 

L’intera operazione ha un tale successo che molte persone nel corso degli anni hanno smesso di scaricarlo.

 

La nuova tecnica di infezione di Dharma

Oggi, Dharma utilizza un’e-mail di spam per convincere la potenziale vittima ad aggiornare il proprio antivirus. 

Per avviare il download del finto update, il messaggio di posta elettronica indica anche un link accessibile solo dopo aver inserito la password indicata nell’e-mail stessa.

In realtà, così facendo, la vittima non fa altro che scaricare sul proprio computer un file autoestraente nominato Defender.exe. 

Eseguendolo, viene automaticamente avviato il download di altri due file. 

Il primo, il cui nome è taskhost[.]exe, è il payload vero e proprio del ransomware Dharma che gli antivirus TrendMicro identificano come RANSOM.WIN32.DHARMA.THDAAAI.

Il secondo file, nominato come Defender_nt32_enu[.]exe, è invece una vecchia versione del software ESET AntiVirus Remover (anche se la vittima lo scopre solo dopo averne avviato l’installazione).

Terminato il download dei due file, parte automaticamente e in background il processo di crittografia dei file archiviati nei vari dispositivi di storage collegati al computer della vittima, mentre contemporaneamente viene avviata anche l’installazione di ESET AntiVirus Remover.

L’interfaccia grafica ESET sullo schermo ha, ovviamente, il solo scopo di distrarre l’utente mentre il ransomware completa la sua azione malevola. 

Dharma, inoltre, viene eseguito come istanza separata dallo strumento di rimozione: in questo modo, il ransomware si assicura comunque l’installazione e la sua esecuzione anche se l’utente non completa l’installazione dello strumento di rimozione ESET.

Al termine della sua azione malevola, il ransomware Dharma avrà provveduto a criptare tutti i file con i seguenti formati: .PNG .PSD .PSP .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV .DWG .DXF.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX .INI .PRF .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG, .BZ2, .1CD.

 

Consigli per difendersi

Per difendere gli asset e il perimetro aziendale da Dharma e da altre minacce simili è necessario adottare alcune pratiche di sicurezza informatica. 

Innanzitutto, occorre avere procedure e sistemi di backup che fanno copie non solo locali e, quindi, non affidarsi solamente a sistemi quali il Shadow Copy di Microsoft. 

Considerando che questo tipo ransomware sembra non sfruttare vulnerabilità specifiche del sistema vittima, rimangono valide le classiche difese da phishing, spam e ricezione di spoofed e-mail.

È opportuno predisporre un sistema centrale che raccolga le informazioni riguardanti e-mail sospette. 

Questo può essere utile come punto di partenza per implementare ulteriori difese quali filtri antispam e antiphishing. 

In caso di allegati sospetti, è consigliato non aprirli ma utilizzare tecniche di sandboxing per analizzare il loro contenuto. 

In caso di e-mail/allegati sospetti è consigliato verificare che il messaggio sia stato realmente generato da una persona fisica di cui ci si può fidare utilizzando un diverso canale di comunicazione, quale ad esempio il telefono.