Uusi H0lyGh0st Ransomware, joka on sidottu Pohjois-Koreaan

Microsoftin tutkijat ovat yhdistäneet uuden ransomware uhka, joka on jo vaarantanut joukon pieniä ja keskisuuria yrityksiä viime vuodesta lähtien toimineille taloudellisesti motivoituneille Pohjois-Korean valtion tukemille toimijoille.

Microsoft Threat Intelligence Centerin (MSTIC) tutkijoiden DEV-0530-nimillä H0lyGh0st kutsuva ryhmä on kehittänyt ja käyttänyt kiristysohjelmia hyökkäyksissä kesäkuusta 2021 lähtien.

Ryhmä on onnistuneesti vaarantanut pienet ja keskisuuret yritykset – mukaan lukien tuotantoorganisaatiot, pankit, koulut sekä tapahtuma- ja kokoussuunnitteluyritykset – useissa maissa jo syyskuusta alkaen, MTIC:n ja Microsoft Digital Security Unitin (MDSU) tutkijat sanoivat. sisään blogi julkaistu torstaina.

H0lyGh0st:n normaali toimintatapa on käyttää kaimaa ransomware salaa kaikki kohdelaitteen tiedostot tiedostotunnisteella .h0lyenc ja lähetä sitten uhrille näyte tiedostoista todisteeksi. Ryhmä on vuorovaikutuksessa uhrien kanssa a .sipuli Sivusto, jota se ylläpitää ja jolla se tarjoaa yhteydenottolomakkeen uhreille, jotta he voivat ottaa yhteyttä, tutkijat sanoivat.

[ILMAINEN tilaustapahtuma: Liity Keeper Securityn Zane Bondiin Threatpost-pyöreän pöydän keskusteluun ja opi pääsemään turvallisesti koneillesi mistä tahansa ja jakamaan arkaluontoisia asiakirjoja kotitoimistostasi. KATSO TÄTÄ.]

Ryhmä vaatii yleensä maksua Bitcoinissa vastineeksi tiedostojen pääsyn palauttamisesta. Verkkosivustollaan H0lyGh0st väittää, että se ei myy tai julkaise uhrien tietoja, jos he maksavat, tutkijat sanoivat. Se kuitenkin käyttää kaksinkertainen kiristys painostaa kohteita maksamaan, uhkaamalla julkaista varastettuja tietoja sosiaalisessa mediassa tai lähettää ne uhrien asiakkaille, jos he eivät täytä lunnaita koskevia vaatimuksia.

Esittelyssä H0lyGh0st

H0lyGh0stin kiristysohjelmakampanjat ovat taloudellisesti motivoituja, ja tutkijat tarkkailevat tekstiä, joka on linkitetty heidän sieppaamaansa lunnaisiin, jossa hyökkääjät väittävät pyrkivänsä "sulkemaan kuilua rikkaiden ja köyhien välillä", tutkijat sanoivat.

"He yrittävät myös oikeuttaa toimintansa väittämällä lisäävänsä uhrin tietoisuutta turvallisuudesta antamalla uhreille enemmän tietoa turva-asennostaan", he sanoivat.

DEV-0530:lla on myös yhteyksiä toiseen pohjoiskorealaiseen ryhmään, jota seurataan nimellä PLUTONIUM, joka tunnetaan myös nimellä DarkSeoul tai Andariel, MSTIC:n mukaan, ja tutkijat tarkkailevat näiden kahden ryhmän välistä viestintää. He sanoivat, että H0lyGh0st on myös nähty käyttämällä yksinomaan PLUTONIUMin luomia työkaluja.

Tarina kahdesta perheestä

Siitä lähtien, kun se aloitti kiristysohjelmien käytön kesäkuussa 2021 ja toukokuuhun 2022 asti, H0lyGh0st on käyttänyt kahta räätälöityä haittaohjelmaperhettä – SiennaPurplea ja SiennaBluea, tutkijat sanoivat. MSTIC tunnisti neljä näihin perheisiin liittyvää varianttia: BTLC_C.exe, HolyRS.exe, HolyLock.exe ja BLTC.exe.

BTLC_C.exe on kirjoitettu C++:lla ja luokitellaan SiennaPurpleksi, kun taas loput on kirjoitettu avoimen lähdekoodin Go-ohjelmointikielellä, tutkijat sanoivat. He sanoivat, että kaikki versiot on käännetty .exe-tiedostoon Windows-järjestelmiin kohdistettavaksi.

BLTC_C.exe on ryhmän kehittämä kannettava kiristysohjelma, joka nähtiin ensimmäisen kerran kesäkuussa 2021. Se saattoi kuitenkin olla varhainen versio ryhmän kehitystyöstä, koska siinä ei ole monia ominaisuuksia verrattuna kaikkiin SiennaBluen haittaohjelmaversioihin. perhe, tutkijat sanoivat.

Myöhemmin ryhmän kehityksen aikana, lokakuun 2021 ja toukokuun 2022 välisenä aikana, MSTIC havaitsi joukon uusia Go-kielellä kirjoitettuja DEV-0530 kiristysohjelmavariantteja, jotka he luokittelevat SiennaBlue-varianteiksi, he sanoivat.

Vaikka eri muunnelmiin on lisätty uusia Go-toimintoja ajan myötä, kaikilla SiennaBlue-perheen kiristysohjelmilla on samat Go-ydintoiminnot, tutkijat havaitsivat. Näitä ominaisuuksia ovat erilaiset salausvaihtoehdot, merkkijonojen hämärtäminen, julkisen avaimen hallinta sekä tuki Internetille ja intranetille, tutkijat sanoivat.

Uusin versio

Viimeisin ryhmän käyttämä kiristysohjelmaversio on BTLC.exe, jonka tutkijat ovat nähneet luonnossa tämän vuoden huhtikuusta lähtien, he sanoivat.

Tutkijat sanoivat, että BTLC.exe voidaan määrittää muodostamaan yhteys verkko-osuuteen käyttämällä haittaohjelmistoon koodattua oletuskäyttäjätunnusta, salasanaa ja intranet-URL-osoitetta, jos ServerBaseURL-osoite ei ole käytettävissä laitteesta.

Haittaohjelma sisältää myös pysyvyysmekanismin, jossa se luo tai poistaa ajoitetun tehtävän nimeltä lockertask joka voi käynnistää kiristysohjelman. He sanoivat, että kun haittaohjelma on käynnistetty onnistuneesti järjestelmänvalvojana, se yrittää muodostaa yhteyden haittaohjelmassa olevaan oletusarvoiseen ServerBaseURL-osoitteeseen, yrittää ladata julkisen avaimen C2-palvelimelle ja salaa kaikki uhrin asemassa olevat tiedostot.

ILMAINEN tilaustapahtuma: Liity Keeper Securityn Zane Bondiin Threatpost-pyöreän pöydän keskusteluun ja opi pääsemään turvallisesti koneihisi mistä tahansa ja jakamaan arkaluontoisia asiakirjoja kotitoimistostasi. KATSO TÄTÄ.