Microsoft ha vinculado una amenaza que surgió en junio de 2021 y apunta a pequeñas y medianas empresas a actores patrocinados por el estado rastreados como DEV-0530.
Los investigadores de Microsoft han vinculado un emergente ransomware amenaza que ya ha comprometido a varias pequeñas y medianas empresas con actores patrocinados por el estado de Corea del Norte motivados financieramente que han estado activos desde el año pasado.
Un grupo rastreado por investigadores de Microsoft Threat Intelligence Center (MSTIC) como DEV-0530 pero que se hace llamar H0lyGh0st ha estado desarrollando y utilizando ransomware en ataques desde junio de 2021.
El grupo ha comprometido con éxito a pequeñas y medianas empresas, incluidas organizaciones de fabricación, bancos, escuelas y empresas de planificación de eventos y reuniones, en varios países a partir de septiembre, dijeron investigadores de MTIC y la Unidad de Seguridad Digital de Microsoft (MDSU). en una entrada de blog publicado el jueves.
El modus operandi estándar de H0lyGh0st es usar un homónimo ransomware para encriptar todos los archivos en el dispositivo de destino usando la extensión de archivo .h0lyenc, luego envíe a la víctima una muestra de los archivos como prueba. El grupo interactúa con las víctimas en un .onion sitio que mantiene y en el que proporciona un formulario de contacto para que las víctimas se comuniquen, dijeron los investigadores.
[Evento bajo demanda GRATIS: Únase a Zane Bond de Keeper Security en una mesa redonda de Threatpost y aprenda cómo acceder de manera segura a sus máquinas desde cualquier lugar y compartir documentos confidenciales desde su oficina en casa. MIRA AQUÍ.]
El grupo normalmente exige el pago en Bitcoin a cambio de restaurar el acceso a los archivos. En su sitio web, H0lyGh0st afirma que no venderá ni publicará datos de víctimas si pagan, dijeron los investigadores. Sin embargo, utiliza doble extorsión para presionar a los objetivos para que paguen, amenazando con publicar datos robados en las redes sociales o enviarlos a los clientes de las víctimas si no cumplen con las demandas de rescate.
Presentamos H0lyGh0st
Las campañas de ransomware de H0lyGh0st tienen una motivación financiera, y los investigadores observaron el texto vinculado a una nota de rescate que interceptaron en la que los atacantes afirman que su objetivo es "cerrar la brecha entre ricos y pobres", dijeron los investigadores.
“También intentan legitimar sus acciones al afirmar que aumentan la conciencia de seguridad de la víctima al permitirles saber más sobre su postura de seguridad”, dijeron.
DEV-0530 también tiene conexiones con otro grupo con sede en Corea del Norte rastreado como PLUTONIUM, también conocido como DarkSeoul o Andariel, según MSTIC, y los investigadores observan las comunicaciones entre los dos grupos. También se ha visto a H0lyGh0st usando herramientas creadas exclusivamente por PLUTONIUM, dijeron.
Historia de dos familias
Desde que comenzó a usar ransomware en junio de 2021 y hasta mayo de 2022, H0lyGh0st ha empleado dos familias de malware desarrolladas a medida: SiennaPurple y SiennaBlue, dijeron los investigadores. MSTIC identificó cuatro variantes vinculadas a estas familias: BTLC_C.exe, HolyRS.exe, HolyLock.exe y BLTC.exe.
BTLC_C.exe está escrito en C++ y está clasificado como SiennaPurple, mientras que el resto está escrito en el lenguaje de programación de código abierto Go, dijeron los investigadores. Todas las variantes se compilan en .exe para apuntar a los sistemas Windows, dijeron.
BLTC_C.exe es un ransomware portátil desarrollado por el grupo que se vio por primera vez en junio de 2021. Sin embargo, puede haber sido una versión temprana de los esfuerzos de desarrollo del grupo, ya que no tiene muchas funciones en comparación con todas las variantes de malware en SiennaBlue. familia, dijeron los investigadores.
Más adelante en la evolución del grupo, entre octubre de 2021 y mayo de 2022, MSTIC observó un grupo de nuevas variantes de ransomware DEV-0530 escritas en Go, que clasifican como variantes de SiennaBlue, dijeron.
Aunque se han agregado nuevas funciones de Go a las diversas variantes a lo largo del tiempo, todos los ransomware de la familia SiennaBlue comparten las mismas funciones principales de Go, observaron los investigadores. Estas características incluyen varias opciones de encriptación, ofuscación de cadenas, administración de claves públicas y soporte para Internet e intranet, dijeron los investigadores.
Variante más reciente
La última variante de ransomware utilizada por el grupo es BTLC.exe, que los investigadores han visto en la naturaleza desde abril de este año, dijeron.
BTLC.exe se puede configurar para conectarse a un recurso compartido de red utilizando el nombre de usuario, la contraseña y la URL de intranet predeterminados codificados en el malware si no se puede acceder a ServerBaseURL desde el dispositivo, dijeron los investigadores.
El malware también incluye un mecanismo de persistencia en el que crea o elimina una tarea programada llamada casillero que puede iniciar el ransomware. Una vez que el malware se inicia con éxito como administrador, intenta conectarse a la ServerBaseURL predeterminada codificada en el malware, intenta cargar una clave pública en el servidor C2 y encripta todos los archivos en el disco de la víctima, dijeron.
Evento bajo demanda GRATIS: Únase a Zane Bond de Keeper Security en una mesa redonda de Threatpost y aprenda cómo acceder de manera segura a sus máquinas desde cualquier lugar y compartir documentos confidenciales desde su oficina en casa. MIRA AQUÍ.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/
- :posee
- :es
- :no
- 2021
- 2022
- 50
- 700
- a
- Nuestra Empresa
- de la máquina
- accesible
- Conforme
- acciones
- lector activo
- los actores
- adicional
- objetivo
- Todos
- ya haya utilizado
- también
- an
- y
- Otra
- dondequiera
- Abril
- somos
- AS
- ataques
- intento
- Los intentos
- conciencia
- Bancos
- BE
- esto
- comenzó
- entre
- Bitcoin
- Blog
- bonos
- negocios
- pero
- by
- C + +
- , que son
- Calls
- Campañas
- PUEDEN
- Reubicación
- reclamo
- alegando
- reclamaciones
- clasificado
- clasificar
- Médico
- Comunicaciónes
- en comparación con
- compilado
- Comprometida
- configurado
- Contacto
- Conexiones
- contacte
- Core
- países
- creado
- crea
- Clientes
- datos
- Predeterminado
- demandas
- desarrollado
- el desarrollo
- Desarrollo
- dispositivo
- digital
- documentos
- No
- No
- el lado de la transmisión
- Temprano en la
- esfuerzos
- surgido
- emergentes
- empleado
- cifrado
- Evento
- evolución
- Intercambio
- exclusivamente
- extensión
- familias
- familia
- Caracteristicas
- Archive
- archivos
- financialmente
- Nombre
- formulario
- Digital XNUMXk
- Desde
- funciones
- brecha
- obtener
- Go
- Grupo procesos
- Grupo
- Tienen
- Inicio
- Muebles para oficina
- Cómo
- Como Hacer
- Sin embargo
- HTTPS
- no haber aun identificado una solucion para el problema
- if
- in
- incluir
- incluye
- aumente
- infosec
- Intelligence
- interactúa
- Internet
- dentro
- IT
- SUS
- sí mismo
- únete
- junio
- Clave
- Saber
- conocido
- Corea
- Coreano
- idioma
- Apellidos
- El año pasado
- más reciente
- lanzamiento
- lanzado
- APRENDE:
- dejando
- vinculado
- Máquinas
- mantiene
- el malware
- Management
- Fabricación
- muchos
- max-ancho
- Puede..
- mecanismo
- Medios
- Conoce a
- reunión
- Microsoft
- Modus
- más,
- motivado
- múltiples
- del sistema,
- Nuevo
- Newsletter
- North
- Corea del Norte
- nota
- número
- observado
- octubre
- of
- Oficina
- on
- On-Demand
- una vez
- de código abierto
- Opciones
- or
- para las fiestas.
- Más de
- visión de conjunto
- Contraseña
- Pagar
- pago
- persistencia
- planificar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- pobre
- portátil
- presión
- Programación
- prueba
- proporciona un
- público
- clave pública
- publicar
- publicado
- Rescate
- ransomware
- reciente
- investigadores
- RESTO
- restauración
- Rico
- Said
- mismo
- programada
- Escuelas
- segura
- EN LINEA
- Conciencia de seguridad
- visto
- venta
- envío
- sensible
- Septiembre
- servidor
- Compartir
- desde
- página web
- Social
- redes sociales
- estándar
- Comience a
- robada
- Cordón
- Con éxito
- SOPORTE
- Todas las funciones a su disposición
- cuento
- Target
- tiene como objetivo
- Tarea
- texto
- esa
- La
- su
- luego
- Estas
- ellos
- así
- este año
- amenaza
- inteligencia de amenazas
- jueves
- Atado
- equipo
- a
- contacto
- dos
- típicamente
- unidad
- hasta
- Enlance
- utilizan el
- usado
- usos
- usando
- Variante
- diversos
- versión
- Víctima
- las víctimas
- fue
- Página web
- que
- mientras
- Wild
- ventanas
- escrito
- año
- tú
- zephyrnet
