По информации Group-IB, иранские хакеры, использующие шифровальщик Dharma, атакуют компании в России, Японии, Китае и Индии.
Опираясь на низкий уровень сложности обнаруженных атак, а также простоту используемых тактик и инструментов, исследователи описывают эту хак-группу как «новичков». Дело в том, что злоумышленники используют для своих операций исключительно общедоступные инструменты: либо с открытым исходным кодом, загруженные с GitHub, либо скачанные из хакерских Telegram-каналов. Так, в арсенал группы входят: Masscan, NLBrute, Advanced Port Scanner, Defender Control и Your Uninstaller.
Судя по всему, пока группировка не способна создавать собственные инструменты, или не обладает денежными ресурсами для покупки доступа к более продвинутым утилитам. В эту картину хорошо укладывается и использование шифровальщика Dharma, исходный код которого был выставлен на продажу еще весной 2020 года, а затем и вовсе утек в сеть бесплатно.
По данным исследователей, хак-группа проникает в сети своих цели при помощи атак на RDP. Это совсем неудивительно, ведь на сегодняшний день RDP – это второй по популярности вектор атак среди операторов вымогательской малвари.
Исследователи отмечают, что иранская хак-группа не требует у своих жертв выкупы в размере сотен тысяч или миллионов долларов США, что уже стало нормальным для большинства вымогателей. Вместо этого злоумышленники запрашивают у пострадавших компаний сравнительно небольшие суммы, примерно 1-5 биткоинов (от 10 000 до 50 000 долларов США). Очевидно, таким образом хакеры пытаются увеличить свои шансы на получение выкупа, а также не хотят привлекать лишнее внимание, ведь правоохранители сосредотачиваются свои усилия на более крупных группах, которые вымогают у компаний миллионы.