Dharma-ransomware verschuilt zichzelf achter antivirus-software

De succesvolle Dharma-ransomware heeft een nieuw trucje achter de hand om slachtoffers om de tuin te leiden. De gijzelmalware verbergt zichzelf achter legitieme antivirus-software.

De Dharma-ransomware doet al sinds 2016 de ronde en is verantwoordelijk voor meerdere high-profile cyberincidenten bij bedrijven wereldwijd. De ransomware wordt regelmatig door zijn makers geüpdatet om blijvend succes te garanderen. Beveiligingsonderzoekers van Trend Micro hebben nu ontdekt dat een nieuwe versie van de malware gebundeld wordt met een legitieme antivirustool om slachtoffers af te leiden.

De aanval begint met een phishingmail die afkomstig lijkt van Microsoft, waarin wordt beweerd dat de Windows-pc van het slachtoffer corrupt is en risico loopt op dataverlies. De e-mail dringt er bij de gebruiker op aan om zijn of haar antivirus te updaten en verifiëren via een bijgevoegde downloadlink.

Afleiding

Wanneer de gebruiker hierin trapt en op de link klikt, worden twee bestanden gedownload: de Dharma-ransomware enerzijds, en een oude versie van een antivirustool van securityleverancier ESET anderzijds.

 

Dharma-4-2
Bron: Trend Micro

Dharma begint op de achtergrond bestanden te encrypteren, terwijl de installatiewizard voor de legitieme ESET-tool op het scherm wordt getoond. Op die manier wordt de gebruiker afgeleid van wat er op de achtergrond gebeurt en kan de ransomware ongestoord zijn gang gaan. Nadat de installatie is afgerond, krijgt het slachtoffer een gijzelbrief te zien, met de vraag voor losgeld om de bestanden weer te ontcijferen.

Misbruik legitieme tools

“Cybercriminelen hebben een geschiedenis van het misbruiken van authentieke tools en deze recente Dharma-tactiek om een installatieprogramma als afleiding of indruk van legitimiteit te gebruiken, is gewoon een andere methode waarmee ze experimenteren”, besluiten de onderzoekers van Trend Micro.

Om je als organisatie beter te beschermen tegen ransomware en gelijkaardige bedreigingen, adviseren security-experts een ‘goede cybersecurity-hygiëne’. Denk aan het beveiligen van e-mailgateways, regelmatig back-uppen van data, en up-to-date houden van systemen en applicaties.