Ransomware Dharma atakuje sektor MŚP

W 2020 r. popularne jest złośliwe oprogramowanie typu ransomware o nazwie Dharma, które atakuje głównie małe i średnie firmy – wynika z raportu firmy Sophos Color by Numbers: Inside a Dharama Ransomware-as-a-service (Raas) Attack”. Aż 85 proc. infekcji nastąpiło poprzez narzędzia dostępowe, takie jak zdalny pulpit, podaje firma Coveware.

Przestępcy wykorzystują przede wszystkim narzędzia do zdalnego dostępu do urządzeń, takie jak protokół zdalnego pulpitu (ang. Remote Desktop Protocol). Umożliwia on m.in. podłączenie się do komputera, dostęp do widoku ekranu, logowanie czy przeglądanie przechowywanych na nim plików. Po zainfekowaniu systemu Dharma szyfruje pliki i wyświetla komunikat „Have fun, bro!”z żądaniem okupu za ich odblokowanie. Zdarza się, że mimo otrzymania zapłaty przestępcy nadal przetrzymują część informacji, aby wyłudzić dodatkowe środki.

Żądany okup za odzyskanie informacji wynosi średnio 8 620 dolarów, czyli ponad 20 razy mniej niż w przypadku innych rodzajów ransomware’u (średnio 191 tys. dolarów). Skala ataków sprawia jednak, że Dharma jest obecnie najbardziej dochodowym z nich, podkreślają eksperci Sophos. Przestępcy „rekompensują” sobie jednak niższe stawki dużą liczbą przeprowadzanych ataków. Są one opłacalne, gdyż oprogramowanie Dharma jest powszechnie dostępne – na czarnym rynku znaleźć można gotowe zestawy skryptów i szablonów. Za 2 tys. dolarów przestępcy kupują usługę RaaS (Ransomware-as-a-Service), w której otrzymują m.in. dostęp do narzędzi automatyzacji ataku i serwerów czy nawet pomoc techniczną.

Łatwo zapomnieć, że ransomware stanowi zagrożenie dla mniejszych podmiotów, ponieważ nagłaśniane są głównie przypadki ataków na światowych gigantów i żądania wielomilionowych okupów. Ryzyko dla MŚP dodatkowo rośnie w sytuacji związanej z epidemią, gdy firmy starają się dopasować do modelu pracy zdalnej, a monitoring systemów i zarządzanie dostępem do danych czy sieci są utrudnione. W skutecznej ochronie przed ransomware pomoże szyfrowane połączenie VPN oraz wieloskładnikowe uwierzytelnianie. Równie ważna jest podstawowa cyberhigiena: instalowanie najnowszych aktualizacji systemów i aplikacji, czujność na wszelkie próby wyłudzenia danych dostępu (phishing), regularne tworzenie kopii zapasowych na dyskach, które nie są podłączone do sieci. Warto pamiętać, że zaawansowaną ochronę zapewnią wielowarstwowe rozwiązania wykorzystujące sztuczną inteligencję – wskazuje Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.

 
(źr. Sophos)