Издание ZDNet сообщает, что в минувшие выходные на двух русскоязычных хакерских форумах в продаже появился исходный код одного из наиболее прибыльных вымогателей нашего времени, шифровальщика Dharma. Исходники продаются за 2000 долларов США.
Напомню, что в этом году своем докладе на конференции RSA ФБР назвало Dharma вторым по прибыльности вымогателем за последние годы. Так, с ноября 2016 года по ноябрь 2019 года операторы шифровальщика получили от своих жертв 24 миллионов долларов США в виде выкупов.
ZDNet цитирует нескольких неназванных ИБ-экспертов, которые сходятся во мнении, что нынешняя продажа кода Dharma, скорее всего, в скором времени обернется его утечкой в широкий доступ. То есть малварь станет доступна более широкой аудитории. Это, в свою очередь, приведет к широкому распространению исходников среди множества хак-групп, и за этим, в конечном итоге, последует всплеск атак.
Впрочем, глава отдела киберрасследований McAfee рассказал ZDNet, что код Dharma уже давно циркулирует среди хакеров, а сейчас он просто появился на публичных форумах. При этом эксперт выразил надежду, что рано или поздно исходники попадут в руки ИБ-специалистов, и это поможет выявить недостатки малвари и создать дешифровщики.
Издание напоминает, что Dharma существует с 2016 года, и изначально вымогатель, лежащий в основе этой малвари, назывался CrySiS. Он работал по схеме вымогатель-как-услуга (Ransomware-as-a-Service, RaaS), то есть другие преступники могли создавать собственные версии малвари для распространения, как правило, посредством спам-кампаний, наборов эксплоитов или брутфорса RDP.
В конце 2016 года пользователь под ником crss7777 опубликовал на форумах Bleeping Computer ссылку на Pastebin, содержавшую мастер-ключи от шифровальщика CrySiS, которые, как потом установили эксперты, были подлинными. После этого CrySiS прекратил свое существование, «переродившись» как Dharma.
И хотя в 2017 году такая же участь постигла и ключи Dharma, но на этот раз операторы вымогателя не стали проводить «ребрендинг» и продолжили работать, в итоге превратив свой RaaS в один из популярнейших «готовых» вымогателей на рынке.
Так, в последние годы Dharma регулярно получает обновления. К примеру, в 2018 и 2019 годах криминальный андеграунд адаптировался к новым тенденциям и перешел от массового распространения вымогателей через почтовый спам к целевым атакам на корпоративные сети. Так же поступили и операторы Dharma.
Отмечается, что весной 2019 года в сети появился новый штамм вымогателей Phobos, используемый в основном для целевых атак. Исследователи компаний Coveware и Malwarebytes отмечали, что он почти идентичен Dharma. Однако Dharma при этом не прекратил свое существование и продолжил работать параллельно Phobos. К примеру, эксперты компании Avast заметили три новые версии Dharma на прошлой неделе.