Операторы вредоносного ПО вымогателя Dharma решили существенно увеличить количество хакеров в мире, предлагая легко войти в бизнес с программами-вымогателями – создан специальный набор инструментов, который делает всё самостоятельно.
RaaS – специальная модель в киберпреступной отрасли, согласно которой разработчики вредоносного ПО отвечают за управление процессами разработки программ-вымогателей и системой получения выкупа. Филиалы (партнеры) отвечают за компрометацию жертв, развертывание вредоносного ПО.
За счет применения модели RaaS операторы вредоносного ПО обычно получают 30-40% от размера выкупа, остальное забирают партнеры. Практически все доступные сегодня модели RaaS рассчитаны только на опытных и квалифицированных хакеров. К примеру, группировка REvil требует, чтобы каждый потенциальный партнер проходил собеседование и отправлял им «резюме»:
По другому пути решили пойти операторы вредоноса Dharma, которые предлагают готовый набор инструментов, с помощью которого практически каждый желающий может взломать интересующую его сеть. Набор называется Toolbelt, он представлен в виде сценария PowerShell, который при запуске позволяет киберпреступнику загрузить и запустить разные инструменты из подключенной общей папки удаленного рабочего стола \\tscleint \ e:
Представленный Dharma набор инструментов позволяет киберпреступнику «работать» с компрометируемой сетью с использованием следующих вредоносных решений:
- Mimikatz (для сбора паролей);
- NirSoft Remote Desktop PassView (для кражи паролей RDP);
- Hash Suite Tools Free (для сброса хэшей);
- и других инструментов для поиска компьютеров для таргетинга и дальнейшего развертывания программы-вымогателя.
Для любого неопытного хакера этот набор инструментов содержит все программы, которые необходимы ему для кражи паролей, распространения на другие устройства в сети и, в конечном итоге, для развертывания программ-вымогателей.
Компания Sophos подробно изучила предложение Dharma и отметила, что помимо самого набора инструмента для начинающего хакера оператор также предоставляет документацию по использованию вредоносного ПО, причем процесс работы с инструментарием представлен пошагово. Подобный подход позволяет Dharma привлечь к киберпреступной работе огромное количество потенциальных партнеров.
