Dharma, il ransomware che si nasconde dentro l’antivirus: ecco come difendersi

Dharma è un pericoloso ransomware identificato già nel 2016 che ora si sta diffondendo mediante una massiccia campagna di malspam in una variante scoperta dai ricercatori di sicurezza di Trend Micro.

La particolarità del nuovo malware sta tutta nella sua particolare tecnica di attacco: il ransomware Dharma, infatti, è ora in grado di installarsi nel computer della vittima insieme ad un software legittimo utilizzato come scudo mimetico.

Ransomware Dharma: nuova tecnica di infezione

In particolare, Dharma utilizza un’e-mail di spam per convincere la potenziale vittima ad aggiornare il proprio antivirus. Per avviare il download del finto update, il messaggio di posta elettronica indica anche un link accessibile solo dopo aver inserito la password indicata nell’e-mail stessa.

In realtà, così facendo, la vittima non fa altro che scaricare sul proprio computer un file autoestraente nominato Defender.exe. Eseguendolo, viene automaticamente avviato il download di altri due file. Il primo, il cui nome è taskhost[.]exe, è il payload vero e proprio del ransomware Dharma che gli antivirus TrendMicro identificano come RANSOM.WIN32.DHARMA.THDAAAI.

Il secondo file, nominato come Defender_nt32_enu[.]exe, è invece una vecchia versione del software ESET AntiVirus Remover (anche se la vittima lo scopre solo dopo averne avviato l’installazione).

Terminato il download dei due file, parte automaticamente e in background il processo di crittografia dei file archiviati nei vari dispositivi di storage collegati al computer della vittima, mentre contemporaneamente viene avviata anche l’installazione di ESET AntiVirus Remover.

L’interfaccia grafica ESET sullo schermo ha, ovviamente, il solo scopo di distrarre l’utente mentre il ransomware completa la sua azione malevola. Dharma, inoltre, viene eseguito come istanza separata dallo strumento di rimozione: in questo modo, il ransomware si assicura comunque l’installazione e la sua esecuzione anche se l’utente non completa l’installazione dello strumento di rimozione ESET.

Al termine della sua azione malevola, il ransomware Dharma avrà provveduto a criptare tutti i file con i seguenti formati:

.PNG .PSD .PSP .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV .DWG .DXF.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX .INI .PRF .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG, .BZ2, .1CD

Ecco i consigli per difendersi

La consapevolezza sulla pericolosità dei ransomware è sempre più elevata tra gli utenti e questo giustifica il calo della diffusione di questa tipologia di malware. Ciò non significa che si può abbassare la guardia e la scoperta di Dharma e della sua particolare tecnica di installazione dimostra che molti criminal hacker stanno ancora cercando di aggiornare le vecchie minacce utilizzando nuove tecniche di attacco e infezione.

È recente, ad esempio, il caso di MegaLocker (conosciuto anche come NamPoHyu Virus) in grado di prendere di mira i server Samba e tutte le risorse di rete come i dischi NAS non adeguatamente protetti o accessibili direttamente via Internet.

Per difendere gli asset e il perimetro aziendale da Dharma e da altre minacce simili è necessario adottare alcune pratiche di sicurezza informatica. Ecco i consigli di Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation: “La prima difesa, intesa in senso lato, è avere procedure e sistemi di backup che fanno copie non solo locali e, quindi, non affidarsi solamente a sistemi quali il Shadow Copy di Microsoft. Considerando che questo tipo ransomware sembra non sfruttare vulnerabilità specifiche del sistema vittima, rimangono valide le classiche difese da phishing, spam e ricezione di spoofed email“.

“A livello business, – continua Griscioli, “può risultare valido predisporre un sistema centrale che raccoglie le informazioni riguardanti email sospette. Questo può essere utile come punto di partenza per implementare ulteriore difese quali filtri antispam e antiphishing. In caso di allegati sospetti, è consigliato non aprirli ma utilizzare tecniche di sandboxing per analizzare il loro contenuto. Per gli skills meno tecnici, in caso di email/allegati sospetti è consigliato verificare che il messaggio sia stato realmente generato da una persona fisica di cui ci si può fidare utilizzando un diverso canale di comunicazione, quale ad esempio il telefono. Anche in questo caso rimane comunque valida il consiglio di mantenere il sistema aggiornato”.

È utile, inoltre, adottare queste altre buone pratiche:

• innanzitutto, per contrastare i malware diffusi mediante e-mail di spam, proteggiamo i gateway di posta elettronica attraverso i quali transitano tutti i messaggi inviati al dominio aziendale;
• applichiamo il principio del minimo privilegio per gestire gli accessi alle risorse aziendali;
• proteggiamo gli strumenti di amministrazione di sistema che potrebbero essere abusati dai criminal hacker;
• implementiamo la segmentazione della rete e la categorizzazione dei dati per ridurre al minimo l’ulteriore esposizione di dati mission-critical e sensibili;
• disabilitiamo i componenti di terze parti o obsoleti che potrebbero essere utilizzati come punti di ingresso nel perimetro cyber aziendale;
• adottiamo sistemi di controllo dotati di analisi comportamentale in modo da bloccare anche le minacce non ancora identificate;
• promuoviamo la security awareness dei propri dipendenti.