Experti zo singapurskej bezpečnostnej skupiny Group-IB odhalili ransomvérovú kampaň v perzskom jazyku, ktorú prisúdili iránskym hekerom. Jej cieľom boli predovšetkým firmy z Ruska, Japonska, Indie a Číny.
Záškodníci využívali verziu ransomvéru Dharma. Ten sa po prvýkrát objavil už v roku 2017, kedy zacielil na indickú dostihovú stránku. Vo februári tohto roka boli za napadnutie bezpečnostných kamier vo Washingtone pomocou Dharmy zatknutí dvaja Rumuni.
„Skutočnosť, že zdrojový kód Dharmy bol široko dostupný, viedla k zvýšeniu počtu špekulanto, ktorí ho zavádzajú,“ podotkol forenzný analytik Group-IB Oleg Skulkin.
Script kiddies z Iránu
Po infikovaní počítačov Dharma zašifrovala údaje v nich. Za poskytnutie kľúča na ich rozšifrovanie vydierači žiadali jeden až päť bitcoinov, čo je približne 10 až 50 tisíc eur.
(Zdroj: Group-IB)
Útočníci sa do systému dostali cez zdieľanú obrazovku. Využívali hekovacie nástroje voľne dostupné na platformách GitHub či Telegram. Jedným z takýchto nástrojov bol napríklad NLBrute, ktorý automatizovane skúša rôzne kombinácie hesiel.
Na iránsku stopu okrem jazyka navádza aj fakt, že jedným z pridružených spustených programov bol deaktivátor antivírusu Your Uninstaller, ktorý je bežne dostupný na iránskych fórach.
Správa výskumníkov z Group-IB konštatuje, že útočná kampaň bola “zďaleka za úrovňou sofistikovanosti veľkých iránskych APT.” Na rozdiel od štátmi sponzorovanými operácií, zameraných prevažne na špionážnu činnosť, išlo v tomto prípade o využitie Dharmy výhradne za účelom finančného zisku.
Jana Tuhrinová