Οι ερευνητές αποδίδουν δύο στοχευμένες επιθέσεις Ransomware στην ομάδα Hacking Lazarus

Το Χόλιγουντ θα σας πίστευε ότι οι εφηβικοί χάκερ που φορούν κουκούλα μπορούν να ρίξουν ολόκληρους εταιρικούς γίγαντες αξίας δισεκατομμυρίων δολαρίων από την ταλαιπωρία του υπογείου των γονιών τους. Ωστόσο, στον πραγματικό κόσμο, τα πράγματα δεν λειτουργούν πραγματικά έτσι. Εξελιγμένες κυβερνοεπιθέσεις πραγματοποιούνται από έμπειρους εγκληματίες που έχουν πολλούς πόρους στη διάθεσή τους.

Οι εκστρατείες Ransomware που στοχεύουν συγκεκριμένους οργανισμούς είναι εξαιρετικά περίπλοκες λειτουργίες που συχνά περιλαμβάνουν πολλά ξεχωριστά συνεργεία hacking που όλοι εργάζονται σε διαφορετικές εργασίες. Μια ομάδα, για παράδειγμα, θα ήταν υπεύθυνη για την παροχή της υποδομής Command & Control (C&C), μια δεύτερη θα έθετε σε κίνδυνο το δίκτυο του θύματος, μια τρίτη θα εξασφάλιζε ότι έχουν μολυνθεί όσο το δυνατόν περισσότεροι υπολογιστές και ένας τέταρτος θα είναι υπεύθυνος για το πραγματικό ωφέλιμο φορτίο ransomware. Ερευνητές από τον Kaspersky περιέγραψαν το σύστημα με μεγαλύτερη λεπτομέρεια σε μια δημοσίευση ιστολογίου την Τρίτη, αλλά ανέφεραν επίσης μερικές εξαιρέσεις στον κανόνα.

Το ransomware VHD προσελκύει την προσοχή των ειδικών

Το ωφέλιμο φορτίο των δύο κυβερνοεπιθέσεων που περιγράφονται από τους ειδικούς του Kaspersky ήταν το ransomware VHD - ένα σχετικά νέο κακόβουλο λογισμικό κρυπτογράφησης αρχείων που εμφανίστηκε πριν από λίγους μήνες. Το ίδιο το ransomware δεν είναι ιδιαίτερα εξελιγμένο. Ανιχνεύει τους σκληρούς δίσκους των μολυσμένων κεντρικών υπολογιστών, κρυπτογραφεί αρχεία με συνδυασμό AES και RSA και διαγράφει σημεία επαναφοράς συστήματος για να κάνει την ανάκτηση των δεδομένων πιο δύσκολη. Ωστόσο, αρκετά χαρακτηριστικά των επιθέσεων τράβηξαν την προσοχή των ερευνητών.

Το πρώτο ξεκίνησε τον Μάρτιο και οι ειδικοί παρατήρησαν ότι περιλάμβανε έναν πολύ ενδιαφέρον μηχανισμό για τη διάδοση μέσω του δικτύου του θύματος. Με τη βοήθεια ενός αυτοματοποιημένου εργαλείου, οι χάκερς χρησιμοποίησαν μια λίστα διαπιστευτηρίων SMB για θύματα για να ωθήσουν τον δρόμο τους σε άλλους υπολογιστές και μετά την επιτυχή σύνδεσή τους, αντιγράφουν ένα ωφέλιμο φορτίο ransomware VHD και το εκτελούσαν μέσω κλήσεων WMI.

Αυτές δεν είναι οι τεχνικές που θα χρησιμοποιούσε ένα πλήρωμα πειρατείας και οι ειδικοί γνώριζαν ότι πιθανότατα έβλεπαν κάτι πιο σοβαρό. Ένιωθαν με τον ίδιο τρόπο μερικούς μήνες αργότερα όταν κλήθηκαν να ανταποκριθούν σε μια άλλη επίθεση με το VHD ransomware.

Αυτή τη φορά, το αρχικό σημείο εισόδου ήταν μια ευάλωτη πύλη VPN μέσω της οποίας οι χάκερ κέρδισαν προνόμια διαχείρισης και ανέπτυξαν ένα backdoor. Έχοντας θέσει σε κίνδυνο τον διακομιστή Active Directory του θύματος, οι εγκληματίες προχώρησαν στη διανομή αντιγράφων του ransomware VHD σε έναν μη καθορισμένο αριθμό υπολογιστών.

Όταν ρίχνουν μια πιο προσεκτική ματιά στην πίσω πόρτα, οι ερευνητές συνειδητοποίησαν τι ακριβώς αντιμετώπιζαν.

Η σύνδεση του Λαζάρου

Η πένα έπεσε όταν οι ερευνητές διαπίστωσαν ότι το backdoor που χρησιμοποιήθηκε κατά τη δεύτερη επίθεση ήταν ένα παράδειγμα αυτού που ονομάζουν MATA malware framework.

Έχουμε μιλήσει στο παρελθόν για το πόσο δύσκολη είναι η απόδοση στον κόσμο της ασφάλειας στον κυβερνοχώρο, αλλά αφού το ερευνήσαμε προσεκτικά, οι ειδικοί του Kaspersky είναι σχεδόν σίγουροι ότι το πλαίσιο MATA δημιουργήθηκε και χρησιμοποιείται από την περίφημη ομάδα πειρατείας του Lazarus.

Η Lazarus είναι μια ομάδα εξειδικευμένων χάκερ που είναι υπεύθυνη για αρκετές τεράστιες επιθέσεις στον κυβερνοχώρο, συμπεριλαμβανομένης της διαρροής της Sony από το 2014 και της κυκλοφορίας του OlympicDestroyer wiper που παρέλυσε την κρίσιμη υποδομή πληροφορικής πριν από τους Χειμερινούς Ολυμπιακούς Αγώνες στο Pyeongchang το 2018. Η Lazarus πιστεύεται ότι συνδέεται με η κυβέρνηση της Βόρειας Κορέας, και το όνομά της έχει συσχετιστεί με οτιδήποτε, από επιθέσεις με οικονομικά κίνητρα έως μεγάλες εκστρατείες στον κυβερνοχώρο. Σύμφωνα με τον Kaspersky, το VHD ransomware είναι η τελευταία τους δημιουργία.

Το ransomware μπορεί να μην είναι ιδιαίτερα εξελιγμένο, αλλά δεν έχει παρατηρηθεί σε άλλες επιθέσεις και οι ερευνητές είναι αρκετά σίγουροι ότι οι χάκερ δεν το νοικιάζουν από άλλη συμμορία εγκλήματος στον κυβερνοχώρο. Ταυτόχρονα, είναι σχεδόν σίγουροι ότι το Lazarus είναι το μόνο πλήρωμα που έχει πρόσβαση στα εργαλεία και τις τεχνικές που χρησιμοποιήθηκαν κατά τη διάρκεια των επιθέσεων τον Μάρτιο και τον Μάιο.

Αντί να μοιράζεται τα κέρδη με άλλα ρούχα στον κυβερνοχώρο, ο Lazarus αποφάσισε να το κάνει μόνος του με το ransomware VHD. Μόνο ο χρόνος θα πει εάν θα είναι μια καλή στρατηγική, αλλά, λαμβάνοντας υπόψη το περίφημο χαρτοφυλάκιο των ενοχλητικών κυβερνοεπιθέσεων, δεν θα στοιχηματίσαμε. Εάν εκτελείτε έναν οργανισμό που ενδέχεται να στοχεύει ο Lazarus, πρέπει να βεβαιωθείτε ότι μια επίθεση ransomware που χρησιμοποιεί το ransomware VHD βρίσκεται στο μοντέλο απειλής σας.