微软已将 2021 年 0530 月出现的威胁与针对中小型企业的威胁与跟踪为 DEV-XNUMX 的国家资助的攻击者联系起来。
微软研究人员将一个新兴的 勒索 这种威胁已经使一些中小型企业受到了自去年以来一直活跃的朝鲜国家支持的经济动机的影响。
自 0530 年 0 月以来,一个被微软威胁情报中心 (MSTIC) 的研究人员追踪为 DEV-0 但自称为 H2021lyGhXNUMXst 的组织一直在开发和使用勒索软件进行攻击。
MTIC 和微软数字安全部门 (MDSU) 的研究人员表示,从 XNUMX 月开始,该组织已成功入侵多个国家的中小型企业,包括制造组织、银行、学校以及活动和会议策划公司。在 博客文章 星期四出版。
H0lyGh0st 的标准作案手法是使用同名 勒索 使用文件扩展名 .h0lyenc 加密目标设备上的所有文件,然后向受害者发送文件样本作为证据。 该小组与受害者互动 .onion 研究人员说,它维护的网站,并在该网站上为受害者提供了联系表格。
[免费点播活动: 加入 Keeper Security 的 Zane Bond 参加 Threatpost 圆桌会议,了解如何从任何地方安全地访问您的机器并从您的家庭办公室共享敏感文档。 在这里观看.]
该组织通常要求以比特币付款,以换取恢复对文件的访问权限。 研究人员表示,在其网站上,H0lyGh0st 声称,如果受害者付费,它不会出售或发布受害者数据。 然而,它使用 双重敲诈 迫使目标付款,威胁要在社交媒体上发布被盗数据,或者如果受害者不满足赎金要求,就将其发送给受害者的客户。
介绍 H0lyGh0st
研究人员表示,H0lyGh0st 的勒索软件活动是出于经济动机,研究人员观察到与他们截获的赎金记录相关的文本,攻击者声称他们的目标是“缩小贫富差距”。
“他们还试图通过让受害者更多地了解他们的安全状况来提高受害者的安全意识,从而使他们的行为合法化,”他们说。
据 MSTIC 称,DEV-0530 还与另一个名为 PLUTONIUM 的朝鲜组织(也称为 DarkSeoul 或 Andariel)有联系,研究人员观察了这两个组织之间的通信。 他们说,也有人看到 H0lyGh0st 使用了 PLUTONIUM 专门创建的工具。
两个家庭的故事
研究人员表示,自 2021 年 2022 月开始使用勒索软件到 0 年 0 月,HXNUMXlyGhXNUMXst 已经使用了两个定制开发的恶意软件系列——SiennaPurple 和 SiennaBlue。 MSTIC 确定了与这些家族相关的四个变体:BTLC_C.exe、HolyRS.exe、HolyLock.exe 和 BLTC.exe。
研究人员说,BTLC_C.exe 是用 C++ 编写的,被归类为 SiennaPurple,而其余的则是用开源的 Go 编程语言编写的。 他们说,所有变体都被编译成 .exe 以针对 Windows 系统。
BLTC_C.exe 是该组织开发的便携式勒索软件,于 2021 年 XNUMX 月首次出现。但是,它可能是该组织开发工作的早期版本,因为与 SiennaBlue 中的所有恶意软件变体相比,它没有太多功能家庭,研究人员说。
他们说,在该组织发展的后期,即 2021 年 2022 月至 0530 年 XNUMX 月期间,MSTIC 观察到了一组用 Go 编写的新 DEV-XNUMX 勒索软件变体,他们将其归类为 SiennaBlue 变体。
研究人员观察到,尽管随着时间的推移,新的 Go 函数已添加到各种变体中,但 SiennaBlue 系列中的所有勒索软件都共享相同的核心 Go 函数。 研究人员表示,这些功能包括各种加密选项、字符串混淆、公钥管理以及对 Internet 和 Intranet 的支持。
最近的变体
他们说,该组织使用的最新勒索软件变种是 BTLC.exe,研究人员自今年 XNUMX 月以来已经在野外看到了它。
研究人员表示,如果无法从设备访问 ServerBaseURL,可以将 BTLC.exe 配置为使用恶意软件中硬编码的默认用户名、密码和 Intranet URL 连接到网络共享。
该恶意软件还包括一个持久性机制,在该机制中它创建或删除一个名为 储物柜任务 可以启动勒索软件。 他们说,一旦恶意软件以管理员身份成功启动,它就会尝试连接到恶意软件中硬编码的默认 ServerBaseURL,尝试将公钥上传到 C2 服务器,并加密受害者驱动器中的所有文件。
免费点播活动:加入 Keeper Security 的 Zane Bond 参加 Threatpost 圆桌会议,了解如何从任何地方安全地访问您的机器并从您的家庭办公室共享敏感文档。 在这里观看.
- :具有
- :是
- :不是
- 2021
- 2022
- 50
- 700
- a
- 关于
- ACCESS
- 无障碍
- 根据
- 行动
- 要积极。
- 演员
- 添加
- 瞄准
- 所有类型
- 已经
- 还
- an
- 和
- 另一个
- 分析数据
- 四月
- 保健
- AS
- 攻击
- 尝试
- 尝试
- 意识
- 银行
- BE
- 很
- 开始
- 之间
- 比特币
- 博客
- 键
- 企业
- 但是
- by
- C + +中
- 被称为
- 呼叫
- 活动
- CAN
- Center
- 要求
- 自称
- 索赔
- 机密
- 分类
- 簇
- 通信
- 相比
- 编译
- 妥协
- 配置
- 分享链接
- 连接
- CONTACT
- 核心
- 国家
- 创建
- 创建
- 合作伙伴
- data
- 默认
- 需求
- 发达
- 发展
- 研发支持
- 设备
- 数字
- 文件
- 不会
- 别
- 驾驶
- 早
- 工作的影响。
- 出现
- 新兴经济体的新市场。
- 就业
- 加密
- 活动
- 进化
- 交换
- 只
- 延期
- 家庭
- 家庭
- 特征
- 文件
- 档
- 经济
- (名字)
- 针对
- 申请
- 四
- 止
- 功能
- 差距
- 得到
- Go
- 团队
- 组的
- 有
- 主页
- 在家办公
- 创新中心
- How To
- 但是
- HTTPS
- 确定
- if
- in
- 包括
- 包括
- 增加
- 信息安全
- 房源搜索
- 交互
- 网络
- 成
- IT
- 它的
- 本身
- 加入
- 六月
- 键
- 知道
- 已知
- 韩国
- 韩语
- 语言
- (姓氏)
- 去年
- 最新
- 发射
- 推出
- 学习用品
- 让
- 链接
- 机
- 维护
- 恶意软件
- 颠覆性技术
- 制造业
- 许多
- 最大宽度
- 可能..
- 机制
- 媒体
- 满足
- 会议
- 微软
- 作案
- 更多
- 动机
- 多
- 网络
- 全新
- 订阅电子邮件
- 北
- 北朝鲜
- 注意
- 数
- 观察
- 十月
- of
- 办公
- on
- 点播
- 一旦
- 开放源码
- 附加选项
- or
- 组织
- 超过
- 简介
- 密码
- 付款
- 坚持
- 规划行程
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 贫困
- 手提
- 压力
- 代码编程
- 证明
- 提供
- 国家
- 公钥
- 发布
- 出版
- 赎金
- 勒索
- 最近
- 研究人员
- REST的
- 恢复
- 丰富
- 说
- 同
- 预定
- 学区情况
- 安全
- 保安
- 安全意识
- 看到
- 出售
- 提交
- 敏感
- 九月
- 服务器
- Share
- 自
- 网站
- 社会
- 社会化媒体
- 标准
- 开始
- 被盗
- 串
- 顺利
- SUPPORT
- 产品
- 故事
- 目标
- 目标
- 任务
- 文本
- 这
- 其
- 然后
- 博曼
- 他们
- Free Introduction
- 今年
- 威胁
- 威胁情报
- 星期四
- 绑
- 次
- 至
- 工具
- 触摸
- 二
- 一般
- 单元
- 直到
- 网址
- 使用
- 用过的
- 使用
- 运用
- 变种
- 各个
- 版本
- 受害者
- 受害者
- 是
- 您的网站
- 这
- 而
- Wild!!!
- 窗户
- 书面
- 年
- 您一站式解决方案
- 和风网