I ricercatori Microsoft hanno collegato una minaccia ransomware emergente che ha già compromesso un certo numero di piccole e medie imprese ad attori sponsorizzati dallo stato nordcoreano finanziariamente motivati che sono attivi dallo scorso anno.
Un gruppo monitorato dai ricercatori del Microsoft Threat Intelligence Center (MSTIC) come DEV-0530 ma che si fa chiamare H0lyGh0st ha sviluppato e utilizzato ransomware negli attacchi da giugno 2021.
Il gruppo ha compromesso con successo le piccole e medie imprese, tra cui organizzazioni manifatturiere, banche, scuole e società di pianificazione di eventi e riunioni, in più paesi a partire da settembre, hanno detto i ricercatori di MTIC e Microsoft Digital Security Unit (MDSU) in un post sul blog pubblicato giovedì.
Il modus operandi standard di H0lyGh0st è quello di utilizzare un ransomware omonimo per crittografare tutti i file sul dispositivo di destinazione utilizzando l'estensione del file .h0lyenc, quindi inviare alla vittima un campione dei file come prova. Il gruppo interagisce con le vittime su un sito . onion che mantiene e sul quale fornisce un modulo di contatto per le vittime per mettersi in contatto, hanno detto i ricercatori.
[Evento on-demand GRATUITO: unisciti a Zane Bond di Keeper Security in una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio domestico. GUARDA QUI.]
Il gruppo in genere richiede il pagamento in Bitcoin in cambio del ripristino dell'accesso ai file. Sul suo sito web, H0lyGh0st afferma che non venderà o pubblicherà i dati delle vittime se pagano, hanno detto i ricercatori. Tuttavia, utilizza la doppia estorsione per fare pressione sugli obiettivi per pagare, minacciando di pubblicare dati rubati sui social media o inviarli ai clienti delle vittime se non soddisfano le richieste di riscatto.
Presentazione di H0lyGh0st
Le campagne ransomware di H0lyGh0st sono motivate finanziariamente, con i ricercatori che osservano il testo collegato a una richiesta di riscatto che hanno intercettato in cui gli aggressori affermano di mirare a "colmare il divario tra ricchi e poveri", hanno detto i ricercatori.
"Tentano anche di legittimare le loro azioni sostenendo di aumentare la consapevolezza della sicurezza della vittima facendo sapere alle vittime di più sulla loro posizione di sicurezza", hanno detto.
DEV-0530 ha anche connessioni con un altro gruppo nordcoreano tracciato come PLUTONIUM, noto anche come DarkSeoul o Andariel, secondo MSTIC, con i ricercatori che osservano le comunicazioni tra i due gruppi. H0lyGh0st è stato anche visto usare strumenti creati esclusivamente da PLUTONIO, hanno detto.
Storia di due famiglie
Da quando ha iniziato a utilizzare ransomware nel giugno 2021 e fino a maggio 2022, H0lyGh0st ha impiegato due famiglie di malware sviluppate su misura: SiennaPurple e SiennaBlue, hanno detto i ricercatori. MSTIC ha identificato quattro varianti legate a queste famiglie: BTLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe.
BTLC_C.exe è scritto in C ++ ed è classificato come SiennaPurple, mentre il resto è scritto nel linguaggio di programmazione open source Go, hanno detto i ricercatori. Tutte le varianti sono compilate in .exe per indirizzare i sistemi Windows, hanno detto.
BLTC_C.exe è un ransomware portatile sviluppato dal gruppo che è stato visto per la prima volta nel giugno 2021. Tuttavia, potrebbe essere stata una prima versione degli sforzi di sviluppo del gruppo, in quanto non ha molte funzionalità rispetto a tutte le varianti di malware della famiglia SiennaBlue, hanno detto i ricercatori.
Più tardi nell'evoluzione del gruppo, tra ottobre 2021 e maggio 2022, MSTIC ha osservato un cluster di nuove varianti di ransomware DEV-0530 scritte in Go, che classificano come varianti SiennaBlue.
Sebbene nuove funzioni Go siano state aggiunte alle varie varianti nel tempo, tutti i ransomware della famiglia SiennaBlue condividono le stesse funzioni principali di Go, hanno osservato i ricercatori. Queste funzionalità includono varie opzioni di crittografia, offuscamento delle stringhe, gestione della chiave pubblica e supporto per Internet e intranet, hanno detto i ricercatori.
Variante più recente
L'ultima variante ransomware utilizzata dal gruppo è BTLC.exe, che i ricercatori hanno visto in natura da aprile di quest'anno, hanno detto.
BTLC.exe può essere configurato per connettersi a una condivisione di rete utilizzando il nome utente, la password e l'URL intranet predefiniti hardcoded nel malware se ServerBaseURL non è accessibile dal dispositivo, hanno detto i ricercatori.
Il malware include anche un meccanismo di persistenza in cui crea o elimina un'attività pianificata chiamata lockertask che può avviare il ransomware. Una volta che il malware viene lanciato con successo come amministratore, tenta di connettersi al ServerBaseURL predefinito hardcoded nel malware, tenta di caricare una chiave pubblica sul server C2 e crittografa tutti i file nell'unità della vittima, hanno detto.
Evento on-demand GRATUITO: unisciti a Zane Bond di Keeper Security in una tavola rotonda Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio domestico. GUARDA QUI.