dharma-ransomware - RunkIntel

# Dharma Ransomware > [!high] RaaS Longevo com Milhares de Vitimas Globais > **Dharma** (também conhecido como **CrySiS**) e uma familia de ransomware ativa desde 2016, operada sob modelo **Ransomware-as-a-Service (RaaS)** descentralizado. Classificado pelo FBI como o segundo ransomware mais lucrativo de todos os tempos, o Dharma e usado principalmente por cibercriminosos de nivel iniciante que adquirem licenca do servico para atacar organizacoes via **RDP exposto** com credenciais fracas ou roubadas. ## Visão Geral [[dharma-ransomware|Dharma]] descende da familia **CrySiS**, originalmente surgida em 2016. Após o vazamento das chaves mestras de descriptografia do CrySiS em novembro de 2016, os desenvolvedores relancaram a operação sob o nome Dharma apenas duas semanas depois. O código-fonte do RaaS foi colocado a venda em foruns da dark web em marco de 2020 por apenas USD 2.000, democratizando ainda mais o acesso a ferramenta para atores menos sofisticados. O FBI avaliou o Dharma como o **segundo ransomware mais lucrativo** já documentado. Sua longevidade e explicada pelo modelo RaaS que atrai afiliados com scripts e ferramentas pre-configuradas, exigindo pouca habilidade técnica. Operadores recebem suporte tecnico do backend RaaS, enquanto os afiliados executam os ataques manualmente - frequentemente após ganhar acesso via RDP comprometido. O [[dharma-ransomware|Dharma]] e frequentemente confundido com ou referênciado no mesmo ecossistema que o [[s1325-phobos-ransomware|Phobos]], uma familia derivada com estrutura muito similar que continua ativa. O vetor primario de entrada - **RDP exposto na internet** - permanece o mesmo em ambas as familias, tornando a hardening de servicos remotos a principal medida de prevenção. No contexto LATAM e Brasil, o Dharma e especialmente relevante por seu vetor via **RDP exposto**, problema cronico em empresas de medio porte que mantem a porta 3389 acessivel na internet sem autenticação adicional. **Plataformas:** Windows (todas as versoes) ## Como Funciona O Dharma segue um playbook padronizado entregue aos afiliados RaaS, incluindo scripts PowerShell, AutoIT e ferramentas de terceiros para execução passo a passo. 1. **Acesso Inicial via RDP:** Varredura por portas 3389 expostas, seguida de ataque de forca bruta ([[t1110-brute-force|T1110]]) ou uso de credenciais roubadas ([[t1078-valid-accounts|T1078]]). Em alguns casos, exploração de vulnerabilidades em servicos externos ([[t1190-exploit-public-facing-application|T1190]]). 2. **Reconhecimento e Desativacao de Defesas:** Uso de ferramentas como Process Hacker para terminar processos de AV e backup. Mapeamento de compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]). 3. **Roubo de Credenciais:** Uso de [[mimikatz|Mimikatz]] e NirSoft CredentialsFileView para dump de credenciais ([[t1003-os-credential-dumping|T1003]]) e movimentação lateral. 4. **Exclusao de Backups:** Execução de `vssadmin delete shadows /all /quiet` para remover Shadow Copies ([[t1490-inhibit-system-recovery|T1490]]). 5. **Persistência:** Copia para `%System%` e pastas Startup, adicao de chaves Run no registro ([[t1547-boot-or-logon-autostart-execution|T1547]]). 6. **Criptografia:** AES-256 em modo CBC para arquivos, chave AES protegida por RSA-1024 embarcado. Criptografia em múltiplas threads ([[t1486-data-encrypted-for-impact|T1486]]). 7. **Nota de Resgate:** Arquivos `Info.hta` e `FILES ENCRYPTED.txt` com enderecos de email para negociacao. ```mermaid graph TB A["Varredura RDP exposto Porta 3389 internet T1190 + T1110"] --> B["Acesso Manual RDP Credenciais brute force ou dark web T1078"] B --> C["Reconhecimento Interno Mapeamento rede shares T1135 + Process Hacker"] C --> D["Dump de Credenciais Mimikatz / NirSoft T1003 lateral movement"] D --> E["Exclusao de Backups vssadmin delete shadows T1490 - sem recuperacao"] E --> F["Criptografia AES-256 RSA-1024 key wrap T1486 multithreaded"] F --> G["Nota de Resgate Info.hta + email contato Negociacao manual"] classDef access fill:#c0392b,color:#fff classDef recon fill:#d35400,color:#fff classDef cred fill:#8e44ad,color:#fff classDef backup fill:#2c3e50,color:#fff classDef impact fill:#922b21,color:#fff classDef ransom fill:#6c3483,color:#fff class A,B access class C recon class D cred class E backup class F impact class G ransom ``` ## Timeline ```mermaid timeline title Dharma/CrySiS - Evolução 2016 : CrySiS identificado como RaaS : Chaves mestras vazam em novembro : Relancado como Dharma 2 semanas depois 2020 : Código-fonte vendido por USD 2.000 : Variantes com extensoes diversas proliferam 2021 : FBI classifica como 2o mais lucrativo : Variante .biden identificada por Acronis 2022 : Operacoes continuam sem interrupcao : Foco em PMEs com RDP exposto 2024 : Ainda ativo - ecossistema Phobos relacionado : Vetor RDP continua dominante ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de servicos RDP expostos | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais roubadas ou bruteforce | | Initial Access | [[t1110-brute-force\|T1110]] | Forca bruta em RDP porta 3389 | | Persistence | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Copia na pasta Startup + Run keys | | Credential Access | [[t1003-os-credential-dumping\|T1003]] | Mimikatz + CredentialsFileView | | Discovery | [[t1135-network-share-discovery\|T1135]] | Mapeamento de compartilhamentos SMB | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativacao de AV com Process Hacker | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Exclusao de Shadow Copies | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 + RSA-1024 multithreaded | ## Relevância LATAM/Brasil O Brasil registra consistentemente um dos maiores volumes de sistemas Windows com RDP exposto na América Latina. Empresas do setor de [[financial|financeiro]], [[healthcare|saúde]] e [[manufacturing|manufatura]] de medio porte sao os alvos preferênciais do Dharma - exatamente o perfil dominante na economia brasileira. O modelo RaaS de baixo custo (código por USD 2.000) atrai atores locais sem sofisticacao técnica que compram acesso e seguem o playbook pre-configurado. Isso significa que o Dharma pode ser operado por cibercriminosos brasileiros ou sul-americanos contra vitimas locais, sem dependência de infraestrutura internacional. Organizacoes que nao aplicam patches do Windows, mantem RDP aberto para internet, ou nao utilizam autenticação multifator em acesso remoto sao altamente vulneraveis a esta familia. **Setores impactados:** [[financial|financeiro]] - [[healthcare|saúde]] - [[government|governo]] - [[technology|tecnologia]] - varejo ## Detecção e Defesa - **Bloquear RDP na internet:** Nunca expor porta 3389 diretamente - usar VPN ou RD Gateway com MFA obrigatorio - **Monitorar logins RDP:** Alertar para logins fora do horario comercial, múltiplas tentativas falhas seguidas de sucesso - **Detectar vssadmin:** Qualquer execução de `vssadmin delete shadows` deve gerar alerta P1 imediato - **Detectar Process Hacker:** Ferramenta legitima frequentemente abusada - monitorar execução por usuarios nao-admin - **Auditoria de credenciais:** Identificar contas com senhas fracas ou padrao em sistemas com RDP ativo - **Backups offline imutaveis:** Garantir que backups nao estejam acessiveis via rede do ambiente comprometido - **EDR/AV:** Detectar padrao de exclusao de processos de backup (firebird, mssqlserver, postgres, outlook) ## Referências - [1](https://www.sophos.com/en-us/blog/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack) Sophos - Inside a Dharma RaaS Attack (2020) - [2](https://www.zscaler.com/blogs/security-research/ransomware-delivered-using-rdp-brute-force-attack) Zscaler - Dharma via RDP Brute Force (2021) - [3](https://www.acronis.com/en/blog/posts/dharma-ransomware/) Acronis - Dharma/CrySiS Technical Analysis (2025) - [4](https://www.redhotcyber.com/en/post/dharma-crysis-overview-and-adversary-tracking/) Cluster25 - Dharma Overview and Adversary Tracking (2024) - [5](https://21649046.fs1.hubspotusercontent-na1.net/hubfs/21649046/Dharma_CrySiS_Ransomware.pdf) C25 Intelligence - Dharma/CrySiS Report (2021)