Forskere tilskriver to målrettede Ransomware-angreb til Lazarus Hacking Group

Lazarus VHD Ransomware

Hollywood ville have dig til at tro, at teenagere, der er iført hoodie, kan bringe hele virksomhedsgiganter til en værdi af milliarder af dollars fra ubehag i deres forældres kælder. I den virkelige verden fungerer tingene ikke rigtig. Sofistikerede cyberangreb udføres af erfarne kriminelle, der har en masse ressourcer til rådighed.

Ransomware-kampagner, der er målrettet mod specifikke organisationer, er ekstremt komplicerede operationer, der ofte involverer flere separate hackingbesætninger, der alle arbejder på forskellige opgaver. Et team ville f.eks. Være ansvarlig for at levere infrastrukturen Command & Control (C&C), et andet ville gå på kompromis med offerets netværk, et tredje ville sikre, at så mange computere som muligt er inficeret, og et fjerde er ansvarligt for den faktiske ransomware nyttelast. Forskere fra Kaspersky beskrev systemet mere detaljeret i et blogindlæg tirsdag, men de nævnte også et par undtagelser fra reglen.

VHD ransomware fanger eksperternes opmærksomhed

Nyttelasten for de to cyberattacks, som Kasperskys eksperter beskrev, var VHD-ransomware - en relativt ny filkrypterende malware, der dukkede op for få måneder siden. Ransomware i sig selv er ikke særlig sofistikeret. Det gennemsøger gennem harddiske fra inficerede værter, krypterer filer med en kombination af AES og RSA og sletter systemgendannelsespunkter for at gøre det lettere at hente dataene. Flere karakteristika ved angrebene fandt imidlertid forskernes opmærksomhed.

Den første blev lanceret i marts, og eksperterne bemærkede, at det involverede en meget interessant mekanisme til spredning gennem offerets netværk. Ved hjælp af et automatiseret værktøj brugte hackerne en liste over offer-specifikke SMB-legitimationsoplysninger til at brute-force deres vej til andre computere, og efter at have oprettet forbindelse til dem, kopierede de en VHD-ransomware-nyttelast og udførte den gennem WMI-opkald.

Dette er ikke de teknikker, som en run-of-the-mølle hacking besætning ville bruge, og eksperterne vidste, at de sandsynligvis kiggede på noget mere alvorligt. De følte det på samme måde et par måneder senere, da de blev indkaldt til at reagere på et andet angreb med VHD ransomware.

Denne gang var det indledende indgangspunkt en sårbar VPN-gateway, gennem hvilken hackerne fik administrative privilegier og indsatte en bagdør. Efter at have kompromitteret offerets Active Directory-server fortsatte de kriminelle med at distribuere kopier af VHD-ransomware til et uspecificeret antal computere.

Da de kiggede nærmere på bagdøren, indså forskerne, hvad de havde at gøre med nøjagtigt.

Lazarus-forbindelsen

Pennen faldt, da forskerne konstaterede, at bagdøren, der blev brugt under det andet angreb, var et eksempel på, hvad de kalder MATA-malware-rammerne.

Vi har talt i fortiden om, hvor hård attribution er i cybersikkerhedsverdenen, men efter at have undersøgt det nøje, er Kasperskys eksperter temmelig sikre på, at MATA-rammen blev oprettet og bruges af den berygtede Lazarus-hackinggruppe.

Lazarus er et team af sofistikerede hackere, der er ansvarlige for ganske mange massive cyberattacks, inklusive Sony-lækagen fra 2014 og lanceringen af OlympicDestroyer-visker, der lammede kritisk IT-infrastruktur forud for vinter-OL i Pyeongchang i 2018. Lazarus antages at være knyttet til den nordkoreanske regering, og dens navn er blevet forbundet med alt fra økonomisk motiverede angreb til store cyberespionage-kampagner. Ifølge Kaspersky er VHD-ransomware deres seneste oprettelse.

Ransomware er måske ikke særlig sofistikeret, men det er ikke set i andre angreb, og forskerne er temmelig sikre på, at hackerne ikke lejer det fra en anden cybercrime-bande. På samme tid er de temmelig sikre på, at Lazarus er den eneste besætning, der har adgang til de værktøjer og teknikker, der blev brugt under angrebene i marts og maj.

I stedet for at dele overskuddet med andre cyberkriminalitetstøj, har Lazarus besluttet at gå på det alene med VHD-ransomware. Kun tiden vil vise, om dette vil være en god strategi, men i betragtning af gruppens berømmelige portefølje af forstyrrende cyberattacks, ville vi ikke satse imod det. Hvis du driver en organisation, der muligvis er målrettet af Lazarus, skal du sørge for, at et ransomware-angreb ved hjælp af VHD-ransomware er i din trusselmodel.

July 29, 2020

Efterlad et Svar