
一个名为Dharma的主要勒索软件病毒的源代码已在周末在两个俄罗斯黑客论坛上出售。
FBI在今年RSA安全会议上的一次演讲中,将Dharma列为近年来第二赚钱最多的勒索软件业务,在2016年11月至2019年11月之间勒索了超过2400万美元的受害者付款。
现在,其源代码的售价低至2,000美元,这使安全研究人员处于边缘。
今天与ZDNet交谈的几名勒索软件专家表示,出售Dharma勒索软件代码很可能会导致其最终在公共互联网上泄漏,并向更广泛的受众泄漏。反过来,这将导致多个网络犯罪集团之间更广泛的扩散,并最终导致攻击激增。
每个人都担心的原因是Dharma是由资深的恶意软件作者创建的高级勒索软件。它的加密方案非常先进,自2017年以来一直无法解密。
更准确地说,勒索软件“解密”的唯一次数是在未知人员泄露了主解密密钥之后,而不是因为存在加密缺陷。
Dharma 简史
Dharma勒索软件操作历史悠久且曲折。它最初于2016年夏天以CrySiS的名称开始。
CrySis是所谓的勒索软件即服务(RaaS)操作。CrySiS作者创建了一项服务,客户(其他犯罪团伙)可以生成自己的版本的勒索软件以分发给受害者-通常通过垃圾邮件活动,漏洞利用工具包或对RDP端点的暴力攻击进行分发。
在2016年11月有人在网上泄露了CrySiS主解密密钥后,两周后CrySiS RaaS以Dharma的名义重新启动。
虽然一些Dharma主解密密钥也于2017年3月在网上泄露,但Dharma运营商这次并未重塑品牌,而是继续不受干扰地运行,将其RaaS打造为犯罪黑社会中最大的勒索软件交钥匙解决方案之一。
多年来,新的Dharma版本一直在不断涌现,因为勒索软件收到了更新,新客户签署了将其分发到全球各地的协议,每个人都在传播自己独特的Dharma版本。
随着犯罪分子在2018年和2019年的适应-从勒索软件大规模分发(通过电子邮件垃圾邮件)到有针对性的攻击(在公司网络上)-佛法公司也是如此。
在2019年春季,一种名为Phobos的新勒索软件病毒在线出现,主要用于有针对性的攻击。来自Coveware和Malwarebytes的安全研究人员很快指出,Phobos与Dharma几乎相同。
但是,一旦新的Phobos分支发布后,佛法并没有消亡。Emsisoft的恶意软件研究员,ID-Ransomware的创建者Michael Gillespie告诉ZDNet,去年整个Dharma和Phobos上载到ID-Ransomware服务的数量仍然约为50-50。

网络安全公司Coveware也证实了这些数据,该公司在一份报告中表示,Dharma占2019年第四季度勒索软件事件的9.3%,而Phobos占10.7%。
Avast的威胁情报负责人Jakub Kroustek仅在本周就发现了三种新的Dharma版本,这意味着犯罪集团仍在寻找Dharma的代码可靠,并且自发行以来已有三年多的时间,直到今天仍在使用。
迈克菲(McAfee)网络调查负责人约翰·福克(John Fokker)告诉ZDNet,Dharma代码已经在地下黑客中流传了很长一段时间,并且直到现在它才出现在更多的公共论坛上。
Gillespie 过去曾发布过数十个勒索软件解密器,并因其努力而获得了FBI奖,他告诉ZDNet,他过去无法在Dharma中发现解密缺陷。
福克现在希望Dharma源代码最终能被安全研究人员掌握。
福克(Fokker)今天对ZDNet表示: “如果我们(好人)能从源头上获得
未经允许不得转载:x-sec » Dharma勒索软件的源代码在黑客论坛上销售