A kutatók két célzott Ransomware támadást tulajdonítanak a Lazarus Hacking Csoportnak

Hollywood azt hinné, hogy a kapucnis ruhát viselõ tizenéves hackerek egész milliárd dollár értékû vállalati óriást hozhatnak le a szülõik alagsorából. A való világban azonban a dolgok nem igazán működnek így. A kifinomult kibertámadásokat tapasztalt bűnözők hajtják végre, akik rengeteg erőforrással rendelkeznek.

Az egyes szervezeteket célzó Ransomware kampányok rendkívül bonyolult műveletek, amelyekbe több különálló hackereknek van szükségük, amelyek mindegyike különböző feladatokon dolgozik. Az egyik csapat például felel a Command & Control (C&C) infrastruktúra biztosításáért, egy másik veszélyeztetné az áldozat hálózatát, a harmadik biztosítja, hogy a lehető legtöbb számítógép fertőzött legyen, a negyedik pedig a a tényleges ransomware hasznos teher. A Kaspersky kutatói részletesebben egy kedden írt blogbejegyzésben írták le a rendszert, de megemlítettek egy pár kivételt a szabály alól.

A VHD ransomware felhívja a szakértők figyelmét

A Kaspersky két szakértője által leírt két kihívás elleni küzdelem a VHD ransomware volt - egy viszonylag új fájlt titkosító rosszindulatú program, amely néhány hónappal ezelőtt megjelent. Maga a ransomware nem különösebben kifinomult. Bejárja a fertőzött állomások merevlemezén, titkosítva a fájlokat AES és RSA kombinációjával, és törölve a rendszer-visszaállítási pontokat az adatok visszakeresésének megkönnyítése érdekében. A támadások számos jellemzője azonban felhívta a kutatók figyelmét.

Az első márciusban indult, és a szakértők észrevették, hogy ez egy nagyon érdekes mechanizmust foglal magában az áldozatok hálózatán keresztüli terjesztés érdekében. Automatizált eszköz segítségével a hackerek az áldozatok-specifikus SMB-hitelesítő adatok listáját felhasználták arra, hogy más számítógépekre kényszerítsék az utat, és miután sikeresen csatlakoztak hozzájuk, másolták a VHD ransomware hasznos terhelését, és WMI-hívásokon keresztül végrehajtották azt.

Ez nem az a technika, amelyet a haladó csapkodó személyzet alkalmazna, és a szakértők tudták, hogy valószínűleg valami komolyabb dolgot keresnek. Pár hónappal később ugyanúgy érezték magukat, amikor felhívták őket, hogy reagáljanak egy újabb támadásra, amely a VHD ransomware-jét tartalmazza.

Ezúttal a kezdeti belépési pont egy sebezhető VPN-átjáró volt, amelyen keresztül a hackerek adminisztratív kiváltságokat szereztek és hátsó ajtót telepítettek. Miután megsértette az áldozat Active Directory szervert, a bűnözők ezt követően megosztották a VHD ransomware példányait egy meghatározatlan számú számítógéppel.

Amikor közelebbről megvizsgálták a hátsó ajtót, a kutatók rájöttek, hogy pontosan mit keresnek.

A Lazarus kapcsolat

A penny esett vissza, amikor a kutatók megállapították, hogy a második támadás során használt hátsó ajtó példája annak, amit ők hívnak a MATA malware keretrendszernek.

A múltban arról beszéltünk, hogy milyen nehéz a hozzárendelés a kiberbiztonsági világban, de miután alaposan megvizsgáltuk, a Kaspersky szakértői nagyjából biztosak abban, hogy a MATA-keretrendszer létrejött és a hírhedt Lazarus-hackeléscsoport használja.

A Lazarus egy kifinomult hackerekből álló csoport, amely felelős néhány hatalmas cyberatámadásért, ideértve a Sony szivárgását 2014-től és az OlympicDestroyer ablaktörlő indítását, amely megbénította a kritikus IT-infrastruktúrát a 2018. évi Pyeongchangi téli olimpia előtt. Lazarus úgy gondolják, hogy kapcsolódik a az észak-koreai kormányt, és nevét bármihez társították, a pénzügyi indíttatású támadásoktól a nagyobb kiberregionális kampányokig. Kaspersky szerint a VHD ransomware a legújabb alkotásuk.

A ransomware lehet, hogy nem különösebben kifinomult, de más támadásokban még nem láttak, és a kutatók elég biztosak abban, hogy a hackerek nem bérbeadják egy másik számítógépes bűnözői csoporttól. Ugyanakkor nagyon biztosak abban, hogy Lazarus az egyetlen legénység, amely hozzáférhet a márciusi és májusi támadások során használt eszközökhöz és technikákhoz.

Ahelyett, hogy megosztaná a nyereséget más számítógépes bűnözésű ruhákkal, Lazarus úgy döntött, hogy egyedül a VHD ransomware-rel kezeli. Csak az idő fogja megmondani, hogy ez jó stratégia lesz-e, de figyelembe véve a csoport rendkívüli zavaró kibertámadások-portfólióját, nem fogadhatnánk ellene. Ha olyan szervezetet működtet, amelyet Lazarus megcélozhat, akkor ellenőriznie kell, hogy a VHD ransomware használatával végrehajtott ransomware támadás az Ön fenyegetési modelljében van-e.