研究者は2つの標的型ランサムウェア攻撃をLazarusハッキンググループに起因していると考えています

ハリウッドは、パーカーを身に着けている10代のハッカーが、両親の地下室の不快感から何十億ドルもの価値を持つ企業の巨人全体を倒すことができるとあなたに信じさせるでしょう。しかし、現実の世界では、物事は実際にはそのようには機能しません。高度なサイバー攻撃は、多くのリソースを自由に使える経験豊富な犯罪者によって実行されます。

特定の組織をターゲットにしたランサムウェアキャンペーンは非常に複雑な操作であり、多くの場合、複数のハッキングスタッフが別々のタスクに取り組んでいます。たとえば、1つのチームはコマンド＆コントロール（C＆C）インフラストラクチャの提供を担当し、2番目のチームは被害者のネットワークを危険にさらし、3番目のチームは可能な限り多くのコンピューターが感染していることを確認し、4番目のチームが担当します実際のランサムウェアのペイロード。カスペルスキーの研究者たちは火曜日のブログ投稿でこのシステムをより詳細に説明しましたが、ルールのいくつかの例外についても言及しました。

VHDランサムウェアは専門家の注意を引く

カスペルスキーの専門家が説明した2つのサイバー攻撃のペイロードは、数か月前に登場した比較的新しいファイル暗号化マルウェアであるVHDランサムウェアでした。ランサムウェア自体は特に洗練されていません。感染したホストのハードドライブをクロールし、AESとRSAの組み合わせでファイルを暗号化し、システムの復元ポイントを削除して、データの取得をより困難にします。しかし、攻撃のいくつかの特徴が研究者の注意を引いた。

最初のものは3月に発売され、専門家たちは被害者のネットワークを介して拡散するための非常に興味深いメカニズムを含んでいることに気づきました。ハッカーは自動化ツールを使用して、被害者固有のSMB資格情報のリストを使用して他のコンピューターに総当たりし、接続に成功した後、VHDランサムウェアペイロードをコピーし、WMI呼び出しを介して実行しました。

これらは、ありふれたハッキングクルーが使用する手法ではありません。専門家たちは、おそらくもっと深刻な問題を検討していることを知っていました。 2か月後、VHDランサムウェアを特徴とする別の攻撃に対応するために呼び出されたとき、彼らは同じように感じました。

今回、侵入の最初のポイントは、ハッカーが管理者権限を取得してバックドアを展開する脆弱なVPNゲートウェイでした。犯罪者は被害者のActive Directoryサーバーを危険にさらした後、不特定多数のコンピューターにVHDランサムウェアのコピーを配布し始めました。

彼らがバックドアを詳しく見てみると、研究者たちは自分たちが何を扱っているのかを理解しました。

ラザロ接続

2度目の攻撃の際に使用されたバックドアは、MATAマルウェアフレームワークと呼ばれるものの1つであると研究者が判断したとき、1ペニーは下落しました。

これまで、サイバーセキュリティの世界における帰属の厳しさについて話しましたが、それを注意深く調査した結果、カスペルスキーの専門家は、MATAフレームワークが作成され、悪名高いLazarusハッキンググループによって使用されていることを確信しています。

Lazarusは、2014年のソニーのリークや2018年の平昌冬季オリンピックの前に重要なITインフラストラクチャを麻痺させたOlympicDestroyerワイパーの発売など、かなりの数の大規模なサイバー攻撃を担当する高度なハッカーのチームです。Lazarusは、北朝鮮政府、そしてその名前は、金銭的動機のある攻撃から主要なサイバースパイ活動まで、あらゆるものに関連付けられてきました。カスペルスキーによると、VHDランサムウェアは彼らの最新の作成物です。

ランサムウェアは特に洗練されているわけではないかもしれませんが、他の攻撃では見られず、研究者たちはハッカーが別のサイバー犯罪グループからそれを貸していないことを確信しています。同時に、3月と5月の攻撃中に使用されたツールとテクニックにアクセスできる唯一の乗組員がラザロであることを、彼らはかなり確信しています。

他のサイバー犯罪組織と利益を共有する代わりに、LazarusはVHDランサムウェアを単独で利用することを決定しました。これが良い戦略になるかどうかは時間が経てばわかりますが、このグループの破壊的なサイバー攻撃の輝かしいポートフォリオを考慮すると、私たちはそれに反対しません。 Lazarusの標的となる可能性のある組織を運営している場合は、VHDランサムウェアを使用したランサムウェア攻撃が脅威モデルに含まれていることを確認する必要があります。