I ricercatori attribuiscono due attacchi mirati di ransomware al gruppo di hacking Lazarus

Hollywood vorrebbe farti credere che gli hacker adolescenti che indossano una felpa con cappuccio possono far crollare interi giganti aziendali del valore di miliardi di dollari dal disagio del seminterrato dei loro genitori. Nel mondo reale, tuttavia, le cose non funzionano davvero in questo modo. Gli attacchi informatici sofisticati vengono eseguiti da criminali esperti che dispongono di molte risorse.

Le campagne di ransomware destinate a organizzazioni specifiche sono operazioni estremamente complicate che spesso coinvolgono diverse squadre di hacker separate che lavorano tutte su compiti diversi. Un team, ad esempio, sarebbe responsabile della fornitura dell'infrastruttura Command & Control (C&C), un secondo comprometterebbe la rete della vittima, un terzo assicurerebbe che il maggior numero possibile di computer sia infetto e un quarto sarà responsabile il carico utile effettivo del ransomware. I ricercatori di Kaspersky hanno descritto il sistema in modo più dettagliato in un post sul blog martedì, ma hanno anche menzionato un paio di eccezioni alla regola.

Il ransomware VHD attira l'attenzione degli esperti

Il payload dei due attacchi informatici descritti dagli esperti di Kaspersky era il ransomware VHD, un malware relativamente nuovo di crittografia dei file apparso pochi mesi fa. Il ransomware stesso non è particolarmente sofisticato. Esegue la scansione dei dischi rigidi degli host infetti, crittografa i file con una combinazione di AES e RSA ed elimina i punti di ripristino del sistema per rendere più difficile il recupero dei dati. Tuttavia, diverse caratteristiche degli attacchi hanno attirato l'attenzione dei ricercatori.

Il primo è stato lanciato a marzo e gli esperti hanno notato che comportava un meccanismo molto interessante per diffondersi attraverso la rete della vittima. Con l'aiuto di uno strumento automatizzato, gli hacker hanno utilizzato un elenco di credenziali SMB specifiche della vittima per forzare la loro forza su altri computer e, dopo aver effettuato correttamente la connessione, hanno copiato un payload di ransomware VHD ed eseguito tramite chiamate WMI.

Queste non sono le tecniche che una troupe di hacker run-of-the-mill userebbe e gli esperti sapevano che probabilmente stavano guardando qualcosa di più serio. Si sentirono allo stesso modo un paio di mesi dopo quando furono chiamati a rispondere a un altro attacco con il ransomware VHD.

Questa volta, il punto di ingresso iniziale era un gateway VPN vulnerabile attraverso il quale gli hacker hanno ottenuto privilegi amministrativi e hanno implementato una backdoor. Avendo compromesso il server Active Directory della vittima, i criminali hanno quindi proceduto a distribuire copie del ransomware VHD a un numero non specificato di computer.

Quando hanno dato un'occhiata più da vicino alla backdoor, i ricercatori hanno capito con cosa avevano esattamente a che fare.

La connessione di Lazzaro

Il penny è caduto quando i ricercatori hanno stabilito che la backdoor utilizzata durante il secondo attacco era un'istanza di quello che chiamano il framework malware MATA.

Abbiamo parlato in passato di quanto sia dura l'attribuzione nel mondo della sicurezza informatica, ma dopo averlo studiato attentamente, gli esperti di Kaspersky sono praticamente certi che il framework MATA sia stato creato e utilizzato dal famigerato gruppo di hacking Lazarus.

Lazarus è un team di sofisticati hacker responsabili di alcuni attacchi informatici di grandi dimensioni, tra cui la fuga di Sony dal 2014 e il lancio del tergicristallo OlympicDestroyer che ha paralizzato l'infrastruttura IT critica in vista delle Olimpiadi invernali di Pyeongchang nel 2018. Si ritiene che Lazarus sia collegato a il governo nordcoreano e il suo nome è stato associato a qualsiasi cosa, dagli attacchi motivati finanziariamente alle principali campagne di cyberespionage. Secondo Kaspersky, il ransomware VHD è la loro ultima creazione.

Il ransomware potrebbe non essere particolarmente sofisticato, ma non è stato visto in nessun altro attacco e i ricercatori sono abbastanza sicuri che gli hacker non lo stiano affittando da un'altra banda di criminalità informatica. Allo stesso tempo, sono praticamente sicuri che Lazarus sia l'unico equipaggio che ha accesso agli strumenti e alle tecniche utilizzate durante gli attacchi di marzo e maggio.

Invece di condividere i profitti con altri abiti per la criminalità informatica, Lazarus ha deciso di provarci da solo con il ransomware VHD. Solo il tempo dirà se questa sarà una buona strategia, ma, considerando l'illustre portafoglio di attacchi informatici dirompenti del gruppo, non scommetteremmo contro di esso. Se gestisci un'organizzazione che potrebbe essere presa di mira da Lazarus, devi assicurarti che un attacco ransomware usando il Vans ransomware sia nel tuo modello di minaccia.