Dharma勒索软件创建了一个黑客工具包，让勒索病毒的门槛变得更低

Dharma勒索软件即服务（RaaS）操作提供了可以为他们做几乎所有事情的工具包，使想要成为 络犯罪分子的人很容易进入勒索软件业务。

RaaS操作是一种 络犯罪模型，开发人员负责管理勒索软件开发和勒索付款系统。同时，会员有责任损害受害者并部署勒索软件

作为该模型的一部分，开发人员可赚取赎金的30％至40％，其余则由关联公司支付。

当今，大多数以企业为目标的勒索软件组都以私有RaaS模式运行，仅邀请最有才华的黑客参加。

例如，REvilRaaS要求采访所有潜在的会员并证明他们是经验丰富的黑客。

Dharma勒索软件是当今运行最久的勒索软件系列之一。

从2016年3月左右开始以CrySiS为名，2016年11月在BleepingComputer论坛上的帖子中泄露了主解密密钥。

不久之后，勒索软件的新变体被发布，将.dharma扩展名附加到加密文件中。

从那时起，这个家族及其不断推出的新变种就被称为佛法。

与其他针对大型企业的RaaS运营需要十万至数百万美元的赎金需求不同，Dharma往往处于较低范围，平均需求约为9,000美元。

根据RaaS提供的新工具包，其低廉的价格可能反映了会员所需的较低准入门槛。

Dharma RaaS为黑客提供了现成的工具包

Sophos的新研究可以解释为什么Dharma勒索软件攻击的赎金要求比其他操作低很多;它迎合了一个经验不足的会员。

与许多仅与经验丰富的黑客合作的私有RaaS运营不同，已发现Dharma运营商提供了一种现成的工具包，该工具包允许任何想要黑客的人入侵 络。

该工具包被称为“工具带”，是一个PowerShell脚本，运行时，它使攻击者可以从映射的远程桌面共享“ \ tsclient e”文件夹中下载并执行各种工具。

使用工具箱时，会员将输入与可以执行的62个任务之一相对应的数字。

输入命令后，该工具包将从远程桌面共享下载必要的可执行文件并执行它们。

该工具包允许会员在Mimikatz等工具的帮助下通过 络横向传播，以收集密码，NirSoft远程桌面PassView窃取RDP密码，Hash Suite工具免费转储哈希值，以及其他工具来查找目标计算机并最终进行部署勒索软件。

获得工具包后，可以确认它要求正确设置附属公司的远程桌面共享并可以访问该命令，才能正确执行命令。

所需的远程共享表明该工具包是RaaS分发的较大软件包的一部分。

对于没有经验的黑客，此工具包包含联盟会员窃取密码，传播到 络上其他计算机并最终部署勒索软件所需的所有程序。

佛法攻击的一种模式

在分析了Dharma攻击的模式之后，Sophos发现一组会员在使用该工具包时通常执行以下步骤：

“这些案例与一个Dharma RaaS运算符有关。我们知道有多个Dharma运算符，但是在本研究中使用这些脚本发现的多个实例与一个具有多个子运算符的特定RaaS绑定在一起。”

Sophos还认为RaaS提供了有关使用该工具包通过 络横向传播的文档。

在众多攻击中都采用了类似的方法，该文档可能提供了联盟会员在部署勒索软件时应使用的一组步骤。

通过提供工具包和使用方法文档，佛法可以招募更多潜在的会员。更大的发行商群体使他们能够建立一个广泛的 络，以捕获尽可能多的受害者，而他们在较小的赎金中损失了多少，则弥补了可能更大的付款额。