自 2021 年 9 月以来,来自朝鲜的新兴威胁集群与开发和使用勒索软件进行针对小企业的网络攻击有关。
该组织在同名勒索软件有效载荷后自称为 H0lyGh0st,正在由 Microsoft 威胁情报中心以 DEV-0530 的绰号进行跟踪,该名称分配给未知、新兴或发展中的威胁活动组。
目标实体主要包括中小型企业,例如制造组织、银行、学校以及活动和会议策划公司。
研究人员在周四的分析中说: “除了 H0lyGh0st 有效载荷外,DEV-0530 还维护着一个 .onion 网站,该组织使用该网站与受害者互动。”
“该组织的标准方法是加密目标设备上的所有文件并使用文件扩展名 .h0lyenc,向受害者发送文件样本作为证据,然后要求以比特币付款以换取恢复对文件的访问权限。”
DEV-0530 要求的赎金金额在 1.2 到 5 个比特币之间,但对攻击者加密货币钱包的分析显示,截至 2022 年 7 月上旬,受害者没有成功支付赎金。
DEV-0530 被认为与另一个名为Plutonium的朝鲜组织(又名 DarkSeoul 或 Andariel)有联系,该组织是在 Lazarus 保护伞下运作的一个子组织(又名 Zinc 或 Hidden Cobra)。
众所周知,威胁行为者采用的非法计划也借鉴了勒索软件的剧本,利用勒索策略向受害者施加压力,要求他们付款或冒着将其信息发布在社交媒体上的风险。
DEV-0530 的黑暗门户网站声称其旨在“缩小贫富差距”和“帮助穷人和挨饿的人”,其策略与另一个名为GoodWill的勒索软件家族相似,该家族迫使受害者向社会事业捐款并提供为有需要的人提供经济援助。
将该组与 Andariel 联系在一起的技术面包屑源于基础设施集的重叠以及基于两个攻击者集体控制的电子邮件帐户之间的通信,在韩国标准时间 (UTC+09:00) 期间始终观察到 DEV-0530 活动.
研究人员指出:“尽管有这些相似之处,但操作节奏、目标和贸易方式的差异表明 DEV-0530 和 Plutonium 是不同的群体。”
2021 年 6 月至 2022 年 5 月期间,针对 Windows 系统推出了四种不同的 H0lyGh0st 勒索软件变体:BTLC_C.exe、HolyRS.exe、HolyLock.exe 和 BLTC.exe。
虽然 BTLC_C.exe(称为 SiennaPurple)是用 C++ 编写的,但其他三个版本(代号为 SiennaBlue)是用 Go 编程的,这表明攻击者试图开发跨平台恶意软件。
较新的毒株还对其核心功能进行了改进,包括字符串混淆和删除计划任务并将自己从受感染机器中删除的能力。
据称,入侵是通过利用面向公众的 Web 应用程序和内容管理系统中未修补的漏洞(例如,CVE-2022-26352),利用购买来丢弃勒索软件有效负载并在加密之前泄露敏感数据而促成的。文件。
一周前,美国网络安全和情报机构警告称,至少自 2021 年 5 月以来,朝鲜政府支持的黑客使用毛伊岛勒索软件攻击医疗保健行业。
从金融抢劫到勒索软件的扩张被视为朝鲜政府发起的另一种策略,以抵消制裁、自然灾害和其他经济挫折造成的损失。
但鉴于通常与国家支持的针对加密货币组织的活动相关的受害者范围较窄,微软认为这些攻击可能是所涉及的威胁参与者的副业。
研究人员说:“同样可能的是,朝鲜政府没有启用或支持这些勒索软件攻击。” “与 Plutonium 基础设施和工具有联系的个人可能会兼职谋取私利。这种兼职理论可能解释了 DEV-0530 经常随机选择的受害者。”
勒索软件威胁在后 Conti 世界中演变
这一发展也伴随着勒索软件领域与现有和新的勒索软件组的演变,即 LockBit、Hive、Lilith、RedAlert(又名 N13V)和 0mega,即使 Conti 团伙正式关闭其业务以应对其大规模泄漏内部聊天。
火上浇油的是,LockBit改进后的继任者还配备了一个全新的数据泄露站点,允许任何参与者购买从受害者那里掠夺的数据,更不用说结合了一个搜索功能,可以更容易地发现敏感信息。
其他勒索软件家族也加入了类似的功能,试图创建攻击期间被盗信息的可搜索数据库。根据Bleeping Computer的一份报告,此列表中值得注意的是PYSA、BlackCat(又名 ALPHV)和被称为Karakurt的 Conti 分支。
根据Digital Shadows收集的统计数据,2022 年第二季度有 705 个组织在勒索软件数据泄露网站中被点名,比 2022 年第一季度增长 21.1%。该期间排名靠前的勒索软件家族包括 LockBit、Conti、BlackCat、Black Basta和副社。
稿源:TheHackerNews 中文化:游侠安全网
