マイクロソフトは、2021年0530月に発生した脅威をリンクし、中小企業を対象として、DEV-XNUMXとして追跡されている国が後援するアクターを標的にしています。
マイクロソフトの研究者は、新興企業をリンクしました ランサムウェア 昨年以来活動している北朝鮮の国家支援の関係者に、すでに多くの中小企業を危険にさらしている脅威。
Microsoft Threat Intelligence Center(MSTIC)の研究者によってDEV-0530として追跡されているが、H0lyGh0stと呼ばれるグループは、2021年XNUMX月以来、攻撃でランサムウェアを開発および使用しています。
MTICとMicrosoftDigitalSecurity Unit(MDSU)の研究者によると、このグループは、製造組織、銀行、学校、イベントや会議の計画会社など、複数の国で中小企業の侵害に成功しています。の ブログ投稿 木曜日に公開されました。
H0lyGh0stの標準的な手口は、名前の由来を使用することです ランサムウェア ファイル拡張子.h0lyencを使用してターゲットデバイス上のすべてのファイルを暗号化し、証拠として被害者にファイルのサンプルを送信します。 グループは犠牲者と対話します 。玉ねぎ 研究者によると、それが維持し、被害者が連絡を取るための連絡フォームを提供するサイト。
[無料のオンデマンドイベント: 脅威ポストの円卓会議でKeeperSecurityのZaneBondに参加して、どこからでもマシンに安全にアクセスし、ホームオフィスから機密文書を共有する方法を学びましょう。 ここで見る.]
グループは通常、ファイルへのアクセスを復元する代わりにビットコインでの支払いを要求します。 研究者によると、H0lyGh0stは、そのWebサイトで、被害者のデータを支払っても販売または公開しないと主張しています。 ただし、 二重恐喝 標的に支払いを迫り、盗んだデータをソーシャルメディアに公開したり、身代金の要求を満たさない場合は被害者の顧客に送信したりすると脅迫します。
H0lyGh0stの紹介
H0lyGh0stのランサムウェアキャンペーンは金銭的な動機であり、研究者は、攻撃者が「金持ちと貧乏人の間のギャップを埋める」ことを目的としていると主張する身代金メモにリンクされたテキストを観察しています。
「彼らはまた、被害者に彼らの安全姿勢についてもっと知らせることによって被害者の安全意識を高めると主張することによって彼らの行動を正当化しようとします」と彼らは言いました。
DEV-0530は、MSTICによると、プルトニウム(DarkSeoulまたはAndarielとも呼ばれる)として追跡されている別の北朝鮮を拠点とするグループとも関係があり、研究者は0つのグループ間の通信を観察しています。 H0lyGhXNUMXstは、PLUTONIUMによって独占的に作成されたツールを使用して見られたとも彼らは言った。
XNUMXつの家族の物語
H2021lyGh2022stは、0年0月からXNUMX年XNUMX月までランサムウェアの使用を開始して以来、カスタム開発されたXNUMXつのマルウェアファミリであるSiennaPurpleとSiennaBlueを採用してきました。 MSTICは、これらのファミリにリンクされているXNUMXつの亜種、BTLC_C.exe、HolyRS.exe、HolyLock.exe、およびBLTC.exeを特定しました。
BTLC_C.exeはC++で記述されており、SiennaPurpleとして分類されていますが、残りはオープンソースのGoプログラミング言語で記述されていると研究者は述べています。 すべての亜種は、Windowsシステムをターゲットにするために.exeにコンパイルされていると彼らは言った。
BLTC_C.exeは、2021年XNUMX月に最初に見られたグループによって開発されたポータブルランサムウェアです。ただし、SiennaBlueのすべてのマルウェアの亜種と比較して多くの機能を備えていないため、グループの開発努力の初期バージョンであった可能性があります。家族、研究者は言った。
グループの進化の後半、2021年2022月から0530年XNUMX月の間に、MSTICは、Goで記述された新しいDEV-XNUMXランサムウェアバリアントのクラスターを観察しました。これらはSiennaBlueバリアントとして分類されます。
さまざまな亜種に新しいGo機能が追加されてきましたが、SiennaBlueファミリーのすべてのランサムウェアは、同じコアGo機能を共有していると研究者は観察しています。 これらの機能には、さまざまな暗号化オプション、文字列の難読化、公開鍵管理、インターネットとイントラネットのサポートが含まれると研究者らは述べています。
最新のバリアント
このグループが使用する最新のランサムウェアの亜種はBTLC.exeであり、研究者たちは今年のXNUMX月から野生で見ていると彼らは述べています。
BTLC.exeは、マルウェアにハードコードされたデフォルトのユーザー名、パスワード、イントラネットURLを使用してネットワーク共有に接続するように構成でき、ServerBaseURLにデバイスからアクセスできない場合に使用できると研究者は述べています。
このマルウェアには、と呼ばれるスケジュールされたタスクを作成または削除する永続化メカニズムも含まれています。 ロッカータスク ランサムウェアを起動できます。 マルウェアが管理者として正常に起動されると、マルウェアにハードコードされたデフォルトのServerBaseURLに接続しようとし、公開鍵をC2サーバーにアップロードしようとし、被害者のドライブ内のすべてのファイルを暗号化します。
無料のオンデマンドイベント:Threatpost円卓会議でKeeperSecurityのZaneBondに参加し、どこからでもマシンに安全にアクセスし、ホームオフィスから機密文書を共有する方法を学びます。 ここで見る.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/
- :持っている
- :は
- :not
- 2021
- 2022
- 50
- 700
- a
- 私たちについて
- アクセス
- アクセス可能な
- 従った
- 行動
- アクティブ
- 俳優
- 追加されました
- 目指す
- すべて
- 既に
- また
- an
- および
- 別の
- どこにでも
- 4月
- です
- AS
- 攻撃
- 試み
- 試み
- 認知度
- 銀行
- BE
- き
- 始まった
- の間に
- Bitcoin
- ブログ
- 債券
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- C + +
- 呼ばれます
- コール
- キャンペーン
- 缶
- センター
- クレーム
- 主張
- クレーム
- 分類された
- 分類します
- クラスタ
- 通信部
- 比べ
- コンパイル
- 損害を受けた
- 設定された
- お問合せ
- Connections
- 接触
- 基本
- 国
- 作成した
- 作成します。
- Customers
- データ
- デフォルト
- 需要
- 発展した
- 開発
- 開発
- デバイス
- デジタル
- ドキュメント
- そうではありません
- ドント
- ドライブ
- 早い
- 努力
- 登場
- 新興の
- 採用
- 暗号化
- イベント
- 進化
- 交換
- 排他的に
- 家族
- 家族
- 特徴
- File
- 財政的に
- 名
- フォーム
- 4
- から
- 機能
- ギャップ
- 取得する
- Go
- グループ
- グループの
- 持ってる
- ホーム
- ホームオフィス
- 認定条件
- How To
- しかしながら
- HTTPS
- 特定され
- if
- in
- include
- 含ま
- 増える
- INFOSEC
- インテリジェンス
- 相互作用する
- インターネット
- に
- IT
- ITS
- 自体
- join
- 六月
- キー
- 知っている
- 既知の
- 韓国
- 韓国語
- 言語
- 姓
- 昨年
- 最新の
- 起動する
- 打ち上げ
- LEARN
- させる
- リンク
- マシン
- 維持
- マルウェア
- 管理
- 製造業
- 多くの
- 最大幅
- 五月..
- メカニズム
- メディア
- 大会
- ご相談
- Microsoft
- 手口
- 他には?
- やる気
- の試合に
- ネットワーク
- 新作
- ニュースレター
- ノース
- 北朝鮮
- 注意
- 数
- 観測された
- 10月
- of
- Office
- on
- オンデマンド
- かつて
- オープンソース
- オプション
- or
- 組織
- が
- 概要
- パスワード
- 支払う
- 支払い
- 持続性
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 貧しいです
- ポータブル
- 圧力
- プログラミング
- 証明
- は、大阪で
- 公共
- 公開鍵
- パブリッシュ
- 公表
- 身代金
- ランサムウェア
- 最近
- 研究者
- REST
- 復元する
- 富裕層
- 前記
- 同じ
- 予定の
- 学校
- しっかりと
- セキュリティ
- セキュリティー認識
- 見て
- 売る
- 送信
- 敏感な
- 9月
- シェアする
- から
- ウェブサイト
- 社会
- ソーシャルメディア
- 標準
- 起動
- 盗まれました
- 文字列
- 首尾よく
- サポート
- システム
- 物語
- ターゲット
- ターゲット
- 仕事
- 클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다.
- それ
- アプリ環境に合わせて
- その後
- ボーマン
- 彼ら
- この
- 今年
- 脅威
- 脅威インテリジェンス
- 木曜日
- タイド
- 時間
- 〜へ
- 豊富なツール群
- touch
- 2
- 一般的に
- 単位
- まで
- URL
- つかいます
- 中古
- 使用されます
- バリアント
- さまざまな
- バージョン
- 被害者
- 犠牲者
- ました
- ウェブサイト
- which
- while
- ワイルド
- ウィンドウズ
- 書かれた
- 年
- あなたの
- ゼファーネット