Kaspersky: Севернокорейските хакери стоят зад VHD рансъмуера

Производителят на антивирусни програми Kaspersky публикува доклад във вторник, в който се казва, че хакерите, свързани със севернокорейския режим, стоят зад нов щам на рансъмуер, известен като VHD.

стоят

Докладът описва два инцидента, за които Kaspersky е знаел, при които натрапници са получили достъп до корпоративни мрежи и са внедрили VHD рансъмуер.

Експертите на Kaspersky твърдят, че инструменти и техники, използвани при две прониквания, свързват нападателите с групата Lazarus - родово име, дадено на хакери, работещи за режима в Пхенян.

Разгърнати инструменти

Въпросните инструменти и техники включват използването на:

  • рамката за зловреден софтуер MATA (Dacls) за разполагане на VHD като краен полезен товар;
  • техники за придвижване през вътрешната мрежа на жертва, наблюдавана преди това в кампании, приписвани на Лазар.

„Данните, с които разполагаме, показват, че VHD рансъмуерът не е стандартен рансъмуер. И доколкото знаем, Lazarus Group е единственият собственик на MATA рамката. Следователно заключаваме, че VHD рансъмуерът също се притежава и експлоатира от Lazarus “, казват изследователите на Kaspersky.

Кохерентно заключение

Това, което Касперски откри тук, изглежда в съответствие с други доклади, публикувани за хакерската екосистема на Северна Корея.

Въз основа на предишни доклади, публикувани през последните четири години, хакерите от Северна Корея са разделени в две категории: тези, които се занимават с кибер шпионаж за разузнавателни цели и тези, които се занимават с финансови престъпления, целящи да наберат средства за правителството на Пхенян. Според Министерството на финансите на САЩ тези средства се използват за подкрепа на оръжейните и ракетните програми на страната.

VHD атаките без съмнение са дело на втората група, която се стреми да изнудва пари от хакнати организации.

Други дейности

Групата се занимава с други дейности за набиране на средства, като хакване на банки, кражба на валути от борси за криптовалути, организиране на джакпотинг атаки срещу банкомати, изпълнение на криптовалутни ботнети и дори участие в уеб скимминг атаки (Magecart), за да открадне банкови данни и да ги препродаде.

Известно е също, че хазарите на Lazarus проникват в корпоративни мрежи, крадат данни и след това изискват откуп от жертвите, защото не публикуват данните си онлайн.

Не е изненадващо да се види, че хакерите в Северна Корея участват в атаки за изкупване, тъй като атаките за изкупване са сред най-печелившите операции за киберпрестъпност днес.

WannaCry и VHD

Западните разузнавателни агенции обвиниха Северна Корея, че е създала и загубила контрол над рансъмуера WannaCry, който се разпространява яростно по целия свят през май 2017 г.

Разликата между VHD и WannaCry е, че VHD е по-добре кодиран и операторите на Lazarus изглежда го разполагат само пестеливо.

Групата е насочена главно към високопрофилни корпоративни мрежи, за да поиска огромни откупи за дешифриране на данните. Тази тактика е известна днес под наименованието „лов на едър дивеч“ („лов на едър дивеч“, бележка на редактора).