Исходный код Dharma Ransomware теперь появляется на публичных хакерских форумах

Исходный код печально известного Dharma Ransomware теперь доступен для продажи на двух русскоязычных хакерских форумах.

Исходный код одного из самых прибыльных семейств вымогателей, Dharma Ransomware, продается на двух русскоязычных хакерских форумах.

 Dharma Ransomware впервые появился на ландшафте угроз в феврале 2016 года, в то время эксперты называли его Crysis.

CrySis Ransomware был впервые обнаружен экспертами ESET, вредоносные программы заразили системы, в основном в России, Японии, Южной и Северной Корее и Бразилии.

Субъекты угрозы распространяли вымогателей через вложения электронной почты с двойными расширениями файлов или через вредоносные ссылки, встроенные в электронные письма со спамом.

В ноябре 2016 года мастер-ключи дешифрования для Crysis были выпущены онлайн, жертвы CrySis версий 2 и 3 смогли восстановить свои файлы. Ключи расшифровки для вымогателя CrySis были размещены в Интернете на форуме BleepingComputer.com пользователем, известным как crss7777, который поделился ссылкой на заголовочный файл C++, содержащий фактические главные ключи расшифровки и информацию о том, как их использовать. Популярный эксперт Лоуренс Абрамс предполагает, что пользователь crss7777 может быть членом команды разработчиков.

Несколько недель спустя CrySiS RaaS был перезапущен под именем Dharma.

Исходник предлагается по цене от 2000 долларов,

«Несколько экспертов-вымогателей, которые  сегодня, заявили, что продажа кода Dharma Ransomware, скорее всего, приведет к его возможной утечке в общедоступном Интернете и более широкой аудитории». «Это, в свою очередь, приведет к более широкому распространению среди нескольких групп киберпреступности, и в конечном итоге всплеску атак». Доступность исходного кода в сети позволит субъектам угроз создавать свои собственные версии и начать их распространение.

Исследователи вредоносного ПО считают схему шифрования очень сложной, но в марте 2017 года ее предполагаемые мастер-ключи были выпущены участником, использующим онлайн-прозвище «gektar» на форумах BleepingComputer.com.Пользователь опубликовал сообщение, содержащее ссылку Pastebin на заголовочный файл на языках программирования C++, который предположительно содержит главные ключи дешифрования.

За последние годы Dharma Ransomware получила множество обновлений, а в 2019 году в сети появился новый фрагмент программы-вымогателя под названием Phobos.

Согласно Malwarebytes, вымогатель Фобос был совершенно идентичен вымогателю Дхармы, оба семейства вымогателей оставались активными в течении 2019 года.