A Microsoft vinculou uma ameaça que surgiu em junho de 2021 e tem como alvo empresas de pequeno e médio porte a atores patrocinados pelo estado rastreados como DEV-0530.
Pesquisadores da Microsoft associaram um ransomware ameaça que já comprometeu uma série de pequenas e médias empresas a atores patrocinados pelo Estado norte-coreano com motivação financeira que estão ativos desde o ano passado.
Um grupo rastreado por pesquisadores do Microsoft Threat Intelligence Center (MSTIC) como DEV-0530, mas que se autodenomina H0lyGh0st, vem desenvolvendo e usando ransomware em ataques desde junho de 2021.
O grupo comprometeu com sucesso empresas de pequeno e médio porte – incluindo organizações de manufatura, bancos, escolas e empresas de planejamento de eventos e reuniões – em vários países a partir de setembro, disseram pesquisadores do MTIC e da Microsoft Digital Security Unit (MDSU) dentro um post de blog publicado quinta-feira.
O modus operandi padrão do H0lyGh0st é usar um homônimo ransomware para criptografar todos os arquivos no dispositivo de destino usando a extensão de arquivo .h0lyenc e, em seguida, envie à vítima uma amostra dos arquivos como prova. O grupo interage com as vítimas em um .onion site que mantém e no qual fornece um formulário de contato para as vítimas entrarem em contato, disseram os pesquisadores.
[Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar suas máquinas com segurança de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.]
O grupo normalmente exige pagamento em Bitcoin em troca de restaurar o acesso aos arquivos. Em seu site, a H0lyGh0st afirma que não venderá ou publicará dados das vítimas se elas pagarem, disseram os pesquisadores. No entanto, ele usa extorsão dupla para pressionar os alvos a pagar, ameaçando publicar dados roubados nas mídias sociais ou enviá-los aos clientes das vítimas se eles não atenderem às exigências de resgate.
Apresentando H0lyGh0st
As campanhas de ransomware da H0lyGh0st são motivadas financeiramente, com pesquisadores observando o texto vinculado a uma nota de resgate que eles interceptaram na qual os invasores afirmam que pretendem “fechar a lacuna entre ricos e pobres”, disseram os pesquisadores.
“Eles também tentam legitimar suas ações alegando aumentar a conscientização de segurança da vítima, informando-as sobre sua postura de segurança”, disseram eles.
O DEV-0530 também tem conexões com outro grupo norte-coreano rastreado como PLUTONIUM, também conhecido como DarkSeoul ou Andariel, de acordo com o MSTIC, com pesquisadores observando as comunicações entre os dois grupos. H0lyGh0st também foi visto usando ferramentas criadas exclusivamente pela PLUTONIUM, disseram eles.
Um conto de duas famílias
Desde que começou a usar ransomware em junho de 2021 e até maio de 2022, o H0lyGh0st empregou duas famílias de malware desenvolvidas sob medida – SiennaPurple e SiennaBlue, disseram os pesquisadores. O MSTIC identificou quatro variantes ligadas a essas famílias: BTLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe.
O BTLC_C.exe é escrito em C++ e é classificado como SiennaPurple, enquanto o restante é escrito na linguagem de programação Go de código aberto, disseram os pesquisadores. Todas as variantes são compiladas em .exe para atingir sistemas Windows, disseram eles.
BLTC_C.exe é um ransomware portátil desenvolvido pelo grupo que foi visto pela primeira vez em junho de 2021. No entanto, pode ter sido uma versão inicial dos esforços de desenvolvimento do grupo, pois não possui muitos recursos em comparação com todas as variantes de malware no SiennaBlue família, disseram os pesquisadores.
Mais tarde na evolução do grupo, entre outubro de 2021 e maio de 2022, a MSTIC observou um conjunto de novas variantes de ransomware DEV-0530 escritas em Go, que eles classificam como variantes do SiennaBlue, disseram eles.
Embora novas funções Go tenham sido adicionadas às várias variantes ao longo do tempo, todos os ransomwares da família SiennaBlue compartilham as mesmas funções principais do Go, observaram os pesquisadores. Esses recursos incluem várias opções de criptografia, ofuscação de strings, gerenciamento de chave pública e suporte para internet e intranet, disseram os pesquisadores.
Variante mais recente
A variante de ransomware mais recente a ser usada pelo grupo é o BTLC.exe, que os pesquisadores viram desde abril deste ano, disseram eles.
O BTLC.exe pode ser configurado para se conectar a um compartilhamento de rede usando o nome de usuário padrão, senha e URL da intranet codificados no malware se o ServerBaseURL não estiver acessível no dispositivo, disseram os pesquisadores.
O malware também inclui um mecanismo de persistência no qual cria ou exclui uma tarefa agendada chamada tarefa de armário que pode iniciar o ransomware. Uma vez que o malware é iniciado com sucesso como administrador, ele tenta se conectar ao ServerBaseURL padrão codificado no malware, tenta fazer upload de uma chave pública para o servidor C2 e criptografa todos os arquivos na unidade da vítima, disseram eles.
Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar com segurança suas máquinas de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/
- :tem
- :é
- :não
- 2021
- 2022
- 50
- 700
- a
- Sobre
- Acesso
- acessível
- Segundo
- ações
- ativo
- atores
- adicionado
- visar
- Todos os Produtos
- já
- tb
- an
- e
- Outro
- qualquer lugar
- Abril
- SOMOS
- AS
- Ataques
- tentativa
- Tentativas
- consciência
- bancos
- BE
- sido
- começou
- entre
- Bitcoin
- Blog
- vínculo
- negócios
- mas a
- by
- C + +
- chamado
- chamadas
- Campanhas
- CAN
- Centralização de
- reivindicar
- reivindicando
- reivindicações
- classificado
- classificar
- Agrupar
- Comunicações
- comparado
- compilado
- Comprometido
- configurado
- Contato
- Coneções
- Contacto
- núcleo
- países
- criado
- cria
- Clientes
- dados,
- Padrão
- demandas
- desenvolvido
- em desenvolvimento
- Desenvolvimento
- dispositivo
- digital
- INSTITUCIONAIS
- Não faz
- não
- distância
- Cedo
- esforços
- emergiu
- emergente
- empregada
- criptografia
- Evento
- evolução
- exchange
- exclusivamente
- extensão
- famílias
- família
- Funcionalidades
- Envie o
- Arquivos
- financeiramente
- Primeiro nome
- Escolha
- formulário
- quatro
- da
- funções
- lacuna
- ter
- Go
- Grupo
- Do grupo
- Ter
- Início
- Home Office
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTTPS
- identificado
- if
- in
- incluir
- inclui
- Crescimento
- infosec
- Inteligência
- interage
- Internet
- para dentro
- IT
- ESTÁ
- se
- juntar
- Junho
- Chave
- Saber
- conhecido
- Coréia
- Coreana
- língua
- Sobrenome
- Ano passado
- mais recente
- lançamento
- lançado
- APRENDER
- de locação
- ligado
- máquinas
- mantém
- malwares
- de grupos
- fabrica
- muitos
- max-width
- Posso..
- mecanismo
- Mídia
- Conheça
- reunião
- Microsoft
- Modo
- mais
- motivados
- múltiplo
- rede
- Novo
- Newsletter
- Norte
- Coreia do Norte
- nota
- número
- observado
- Outubro
- of
- Office
- on
- Sob demanda
- uma vez
- open source
- Opções
- or
- organizações
- Acima de
- Visão geral
- Senha
- Pagar
- pagamento
- persistência
- planejamento
- platão
- Inteligência de Dados Platão
- PlatãoData
- pobre
- portátil
- pressão
- Programação
- prova
- fornece
- público
- chave pública
- publicar
- publicado
- Resgate
- ransomware
- recentemente
- pesquisadores
- DESCANSO
- restauração
- Rico
- Dito
- mesmo
- programado
- Escolas
- firmemente
- segurança
- Consciência de segurança
- visto
- vender
- enviar
- sensível
- Setembro
- servidor
- Partilhar
- desde
- local
- Redes Sociais
- meios de comunicação social
- padrão
- Comece
- roubado
- Tanga
- entraram com sucesso
- ajuda
- sistemas
- conto
- Target
- tem como alvo
- Tarefa
- texto
- que
- A
- deles
- então
- Este
- deles
- isto
- este ano
- ameaça
- inteligência de ameaças
- quinta-feira
- Amarrado
- tempo
- para
- ferramentas
- tocar
- dois
- tipicamente
- unidade
- até
- URL
- usar
- usava
- usos
- utilização
- Variante
- vário
- versão
- Vítima
- vítimas
- foi
- Site
- qual
- enquanto
- Selvagem
- Windows
- de
- escrito
- ano
- investimentos
- zefirnet
