Kaspersky: Севернокорейските хакери стоят зад VHD рансъмуера
Производителят на антивирусни програми Kaspersky публикува доклад във вторник, в който се казва, че хакерите, свързани със севернокорейския режим, стоят зад нов щам на рансъмуер, известен като VHD.
Докладът описва два инцидента, за които Kaspersky е знаел, при които натрапници са получили достъп до корпоративни мрежи и са внедрили VHD рансъмуер.
Експертите на Kaspersky твърдят, че инструменти и техники, използвани при две прониквания, свързват нападателите с групата Lazarus - родово име, дадено на хакери, работещи за режима в Пхенян.
Разгърнати инструменти
Въпросните инструменти и техники включват използването на:
- рамката за зловреден софтуер MATA (Dacls) за разполагане на VHD като краен полезен товар;
- техники за придвижване през вътрешната мрежа на жертва, наблюдавана преди това в кампании, приписвани на Лазар.
„Данните, с които разполагаме, показват, че VHD рансъмуерът не е стандартен рансъмуер. И доколкото знаем, Lazarus Group е единственият собственик на MATA рамката. Следователно заключаваме, че VHD рансъмуерът също се притежава и експлоатира от Lazarus “, казват изследователите на Kaspersky.
Кохерентно заключение
Това, което Касперски откри тук, изглежда в съответствие с други доклади, публикувани за хакерската екосистема на Северна Корея.
Въз основа на предишни доклади, публикувани през последните четири години, хакерите от Северна Корея са разделени в две категории: тези, които се занимават с кибер шпионаж за разузнавателни цели и тези, които се занимават с финансови престъпления, целящи да наберат средства за правителството на Пхенян. Според Министерството на финансите на САЩ тези средства се използват за подкрепа на оръжейните и ракетните програми на страната.
VHD атаките без съмнение са дело на втората група, която се стреми да изнудва пари от хакнати организации.
Други дейности
Групата се занимава с други дейности за набиране на средства, като хакване на банки, кражба на валути от борси за криптовалути, организиране на джакпотинг атаки срещу банкомати, изпълнение на криптовалутни ботнети и дори участие в уеб скимминг атаки (Magecart), за да открадне банкови данни и да ги препродаде.
Известно е също, че хазарите на Lazarus проникват в корпоративни мрежи, крадат данни и след това изискват откуп от жертвите, защото не публикуват данните си онлайн.
Не е изненадващо да се види, че хакерите в Северна Корея участват в атаки за изкупване, тъй като атаките за изкупване са сред най-печелившите операции за киберпрестъпност днес.
WannaCry и VHD
Западните разузнавателни агенции обвиниха Северна Корея, че е създала и загубила контрол над рансъмуера WannaCry, който се разпространява яростно по целия свят през май 2017 г.
Разликата между VHD и WannaCry е, че VHD е по-добре кодиран и операторите на Lazarus изглежда го разполагат само пестеливо.
Групата е насочена главно към високопрофилни корпоративни мрежи, за да поиска огромни откупи за дешифриране на данните. Тази тактика е известна днес под наименованието „лов на едър дивеч“ („лов на едър дивеч“, бележка на редактора).
- La Fête à la maison next Но какво се случи с актьорите
- (Състезателната) война на Bellingcat срещу RT руснаците не убиха Джордж Флойд, но те са
- Лимон какви са ползите от него
- 101-годишният Кърк Дъглас и 99-годишната му съпруга все още са неразделни след 64 години брак
- Диабет при кучета какви са лечението с Hyperassur