Różności i nowinki technologia

Hakerzy wspierani przez Koreę Północną zanurzają się w puli ransomware

Hakerzy wspierani przez Koreę Północną zanurzają się w puli ransomware

Aurich Lawson / Getty

Według badaczy z Kaspersky Lab Lazarus – północnokoreańska grupa hakerska stojąca za robakiem WannaCry, kradzieżą 81 milionów dolarów z banku w Bangladeszu i atakami na Sony Pictures.

Podobnie jak wiele wczesnych wpisów Lazarusa, oprogramowanie ransomware VHD jest prymitywne. Pełne zainfekowanie sieci jednego celu zajęło złośliwemu oprogramowaniu 10 godzin. Wykorzystuje również pewne niekonwencjonalne praktyki kryptograficzne, które nie są „zabezpieczone semantycznie”, ponieważ wzorce oryginalnych plików pozostają po zaszyfrowaniu. Wydaje się również, że złośliwe oprogramowanie złapało jedną ofiarę poprzez przypadkową infekcję jej wirtualnej sieci prywatnej.

Krótko mówiąc, VHD to nie Ryuk ani WastedLocker. Obaj są znani jako „łowcy grubego zwierza”, ponieważ atakują sieci należące do organizacji z głębokimi kieszeniami, a po uzyskaniu dostępu uderzają dopiero po kilku dniach lub tygodniach skrupulatnego nadzoru.

„Jest oczywiste, że grupa nie może równać się skuteczności innych gangów cyberprzestępczych z ich podejściem typu„ hit and run ”do ukierunkowanego oprogramowania ransomware” – napisali w poście badacze z Kaspersky Lab Ivan Kwiatkowski, Pierre Delcher i Félix Aime. „Czy naprawdę mogli ustalić odpowiednią cenę okupu dla swojej ofiary w ciągu 10 godzin potrzebnych na wdrożenie oprogramowania ransomware? Czy byli w stanie dowiedzieć się, gdzie znajdują się kopie zapasowe? ”

APT obejmuje oprogramowanie ransomware

VHD po raz pierwszy zwrócił uwagę badaczy z dwóch powodów. Po pierwsze, nigdy wcześniej nie widzieli oprogramowania ransomware. Drugi: jego technika rozprzestrzeniania była nietypowa dla grup cyberprzestępczych. W szczególności ransomware próbowało złamać hasła do udostępniania plików SMB na każdej wykrytej maszynie, a gdy się powiedzie, użyło Instrumentacji zarządzania Windows do wykonania się na udziałach sieciowych.

Podejście to bardziej przypominało te stosowane w atakach na Sony Pictures, kampaniach czyszczenia dysku Shamoon i szkodliwym oprogramowaniem OlympicDestroyer, które zakłóciło Zimowe Igrzyska Olimpijskie 2018. Naukowcy powszechnie uważają, że ataki te zostały przeprowadzone przez hakerów wspieranych przez rząd – często określanych jako APT lub zaawansowane trwałe zagrożenia – odpowiednio z Korei Północnej, Iranu i Rosji.

„Pozostało nam więcej pytań niż odpowiedzi” – napisali naukowcy. „Czuliśmy, że ten atak nie pasuje do zwykłego modus operandi znanych grup łowieckich na grubego zwierza. Ponadto w naszej telemetrii byliśmy w stanie znaleźć bardzo ograniczoną liczbę próbek oprogramowania ransomware VHD i kilka publicznych odniesień. To wskazywało, że ta rodzina ransomware może nie być szeroko sprzedawana na forach Dark Market, jak to zwykle bywa. ”

Po dalszych poszukiwaniach naukowcy odkryli VHD za pomocą backdoora opartego na MATA, w pełni funkcjonalnym frameworku działającym w systemach Windows, macOS i Linux. W poście opublikowanym w zeszłym tygodniu Kaspersky Lab przedstawił dowody, które silnie powiązały MATA z Lazarusem. Nazywając backdoor Dacls, badacze z Malwarebytes niezależnie doszli do tej samej oceny.

„Dane, które mamy do dyspozycji, wskazują, że oprogramowanie ransomware VHD nie jest produktem komercyjnym gotowym do użycia; iz tego, co wiemy, grupa Lazarus jest wyłącznym właścicielem struktury MATA ”- napisali badacze z Kaspersky Lab. „Dlatego dochodzimy do wniosku, że oprogramowanie ransomware VHD jest również własnością Lazarus i jest przez niego obsługiwane”.

Użycie przez Lazarusa VHD jest zgodne z dążeniem grupy do przestępstw motywowanych finansowo, które od września ubiegłego roku przyniosły podobno 2 miliardy dolarów na sfinansowanie programów broni masowego rażenia. Jak zauważyli naukowcy, VHD ma przed sobą długą drogę, jeśli ma nadążyć za chirurgicznymi i ukierunkowanymi atakami bardziej zaawansowanego oprogramowania ransomware.

„Ostatecznie liczy się tylko to, czy te operacje przyniosły Łazarzowi zysk” – napisali badacze. „Tylko czas pokaże, czy zaczną polować na grubego zwierza w pełnym wymiarze godzin, czy też odrzucą to jako nieudany eksperyment”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook