dharma - RunkIntel

# Dharma > Tipo: **malware (ransomware)** - Oportunista - [MITRE ATT&CK](https://attack.mitre.org/software/) > [!warning] O Ransomware Mais Persistente do Mundo - Ativo desde 2016 > O Dharma (antes CrySiS) e o ransomware mais longevo do ecossistema criminal - ativo por mais de 8 anos sem interrupcao. O FBI classifica o Dharma como o segundo ransomware mais lucrativo da historia. O código-fonte foi vendido por apenas USD 2.000 em marco de 2020, gerando dezenas de variantes autonomas e tornando a atribuicao práticamente impossível. Atualmente, Dharma e Phobos sao tratados como a mesma familia extendida. ## Visão Geral [[dharma|Dharma]] e uma familia de ransomware oportunista ativa desde 2016, originalmente identificada como CrySiS (CryptXXX variant) e renomeada para Dharma pelos operadores após a públicacao das chaves de descriptografia do CrySiS em novembro de 2016. Diferente de grupos RaaS de alto perfil como [[lockbit|LockBit]] ou [[blackcat|BlackCat]], o Dharma opera em escala massiva contra alvos de menor porte: PMEs com RDP exposto, servicos de saúde regionais, escritorios de contabilidade e juridico, e orgaos governamentais de segundo escalao. O modelo de negocio e simples e eficaz: operadores compram acesso RDP comprometido em mercados clandestinos (preco medio USD 50-500 por servidor), invadem manualmente, desativam defesas, cifram dados e exigem resgates modestos de USD 1.000-100.000 - pequenos o suficiente para que vitimas prefiram pagar a envolver seguradoras ou autoridades. Em marco de 2020, o código-fonte completo do Dharma foi vendido por apenas USD 2.000 em forums underground, resultando na proliferacao da variante [[phobos|Phobos]] e dezenas de sub-variantes com extensoes customizadas (`.dharma`, `.wallet`, `.like`, `.adobe`, `.rx`). O FBI estimou que o Dharma arrecadou mais de USD 24 milhões entre 2016 e 2019 - sendo o segundo mais lucrativo naquele período, perdendo apenas para o Ryuk. Técnicamente, o Dharma utiliza criptografia hibrida: AES-256 em modo CBC para cifrar o conteudo dos arquivos, com chave protegida por RSA-1024. O executavel principal e protegido por RC4 com deofuscacao em memoria antes da execução (técnica anti-análise). Uma caracteristica distintiva e a persistência via chaves de registro Run - o Dharma copia a si mesmo para `%AppData%` e adiciona entrada de auto-inicializacao, garantindo execução mesmo após reinicializacoes. Os arquivos cifrados recebem a extensao `.{email}.id-{ID}.{variante}`. **Plataformas:** Windows ## Como Funciona O acesso inicial e obtido exclusivamente via RDP comprometido: os operadores usam ferramentas de brute force (Hydra, NLBrute, Remote Desktop Cracker) contra servicos RDP expostos na porta 3389 ou portas alternativas, ou compram credenciais pre-comprometidas em mercados underground como xDedic (desmantelado em 2019). Nao ha cadeia de infecção via phishing ou exploits - e pura forca bruta ou credenciais roubadas. **Sequencia de operações pos-comprometimento:** 1. Login manual via RDP com credenciais comprometidas 2. Execução de scripts batch para desativar Windows Defender, MsMpEng, Windows Security Center 3. Exclusao de shadow copies via `vssadmin delete shadows /all /quiet` 4. Execução de comandos `net stop` para parar servicos de backup (Acronis, Veeam, BackupExec) 5. Copia do executavel Dharma para `C:\Windows\Temp\` ou `%AppData%` com nome legitimo (ex: `svchost.exe`, `1.exe`) 6. Persistência via registro: `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 7. Execução do Dharma - cifra arquivos locais, mapeados e compartilhamentos de rede 8. Deposito da nota de resgaté em cada diretorio: `RETURN FILES.txt` ou `README.txt` com email de contato **Criptografia:** AES-256-CBC por arquivo, chave protegida por RSA-1024. O executavel e ofuscado com RC4 e desofuscado em memoria antes da execução - dificulta análise estática. Arquivos cifrados recebem extensao com formato: `arquivo.extensao.id-[ID_VITIMA].[email_operador].dharma`. ## Attack Flow ```mermaid graph TB A["🔓 Brute Force RDP Porta 3389 exposta NLBrute / xDedic marketplace"] --> B["🖥 Acesso Manual RDP Operador entra como admin T1078 Valid Accounts"] B --> C["🛡 Desativacao de Defesas Windows Defender / EDR parado T1562.001 Disable Tools"] C --> D["💾 Backup Destruction VSS deletado - Veeam/Acronis parados T1490 Inhibit Recovery"] D --> E["🔍 Reconhecimento de Rede net view / net share T1135 Network Share Discovery"] E --> F["🔑 Criptografia AES-256+RSA-1024 Arquivos locais + compartilhamentos T1486 Data Encrypted for Impact"] F --> G["📧 Nota de Resgaté por Email RETURN FILES.txt Sem site de vazamento - contato direto"] classDef access fill:#c0392b,color:#fff classDef rdp fill:#e67e22,color:#fff classDef disable fill:#f39c12,color:#fff classDef backup fill:#8e44ad,color:#fff classDef recon fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef ransom fill:#1e3a5f,color:#fff class A access class B rdp class C disable class D backup class E recon class F encrypt class G ransom ``` ## Timeline ```mermaid timeline title Dharma - Linha do Tempo 2016-01 : CrySiS identificado - primeiras amostras ransomware 2016-11 : Chaves de descriptografia CrySiS vazadas - rebatizado Dharma 2017 : Dharma com extensao .wallet - expansao global 2018 : Phobos emerge como variante derivada 2019 : FBI relata USD 24M coletados - segundo mais lucrativo 2020-03 : Código-fonte vendido por USD 2.000 - dezenas de variantes 2021 : Phobos supera Dharma em volume de ataques 2022-24 : Ataques continuos - PMEs, saude, municipios no Brasil ``` ## Técnicas Utilizadas - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - brute force RDP com NLBrute/Hydra - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - vetor de acesso primario - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais compradas ou capturadas - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - Windows Defender e EDR - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - vssadmin + parada de backup - [[t1489-service-stop|T1489 - Service Stop]] - Veeam, Acronis, BackupExec - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - net view, net share - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - enumeracao local - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - execução via cmd.exe - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Name]] - svchost.exe - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - AES-256 + RSA-1024 ## Detecção > [!warning] RDP Exposto = Convite ao Dharma > O Dharma possui um modelo de ataque extremamente simples: qualquer servidor com RDP exposto sem MFA e suscetivel. A detecção mais eficaz e prevenção pre-ataque (VPN obrigatoria, MFA, portas nao-padrao) e nao detecção durante o ataque. Uma vez que o operador tem acesso manual, o tempo entre entrada e cifragem pode ser de apenas 10-15 minutos. **Indicadores comportamentais:** - Login RDP de IPs geograficamente incoerentes com historico da conta - Execução de `vssadmin delete shadows /all /quiet` imediatamente após login RDP - Parada de múltiplos servicos em sequencia rapida: `net stop "Acronis VSS Provider"`, `net stop "Veeam Backup Catalog Data Service"` - Criação de arquivos `RETURN FILES.txt` ou `README.txt` em múltiplos diretorios simultaneamente - Processo com nome `svchost.exe` em caminhos fora de `C:\Windows\System32\` - Modificacao de chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com executavel em `%AppData%` **Sigma recomendado:** - `proc_creation_win_vssadmin_delete_shadows.yml` - `proc_creation_win_nlbrute_execution.yml` - `registry_set_run_key_suspicious.yml` - `proc_creation_win_service_stop_multiple.yml` ## Relevância LATAM/Brasil O [[dharma|Dharma]] e possívelmente o ransomware com maior número de vitimas no Brasil. PMEs brasileiras com RDP exposto - especialmente nos setores de contabilidade, clinicas medicas, escritorios juridicos e municipios pequenos - sao alvos primarios. O CERT.br documenta regularmente incidentes Dharma, e empresas de IR brasileiras como Tempest e ISH relatam o Dharma como uma das familias mais frequentes em aténdimentos. O código-fonte vendido em 2020 gerou variantes com ransom notes em portugues e emails de contato em dominios `.br`. A combinacao de alto volume de RDP exposto no Brasil (estimado pelo Shodan em centenas de milhares de instancias), baixo grau de maturidade de segurança em PMEs e resgates acessiveis (USD 500-5.000) torna o Dharma um problema estrutural para a segurança digital brasileira. ## Referências - [CISA - Dharma Ransomware Advisory AA20-302A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-302a) - [Kaspersky - CrySiS/Dharma Analysis](https://securelist.com/crysis-dharma-cxk-matrix-ransomware/85452/) - [Acronis - Dharma/Phobos Technical Deep-Dive](https://www.acronis.com/en-us/blog/posts/dharma-ransomware/) - [FBI - Dharma Ransomware Most Profitable](https://www.ic3.gov/Media/News/2020/200910.pdf) - [Cluster25 - Dharma Source Code Sale](https://cluster25.io/2020/03/dharma-source-code-sale/)