Forskere tilskriver to målrettede Ransomware-angrep til Lazarus Hacking Group

Lazarus VHD Ransomware

Hollywood ville ha deg til å tro at tenåringshavere med hettegenser kan få ned hele bedriftsgiganter verdt milliarder av dollar fra ubehaget i foreldrenes kjeller. I den virkelige verden fungerer imidlertid ikke ting slik. Sofistikerte nettangrep utføres av erfarne kriminelle som har mange ressurser til rådighet.

Ransomware-kampanjer som er målrettet mot spesifikke organisasjoner er ekstremt kompliserte operasjoner som ofte involverer flere separate hackingmannskaper som alle jobber med forskjellige oppgaver. Ett team, for eksempel, vil være ansvarlig for å tilby kommando og kontroll (C&C) infrastruktur, et andre ville kompromittere offerets nettverk, et tredje vil sikre at så mange datamaskiner som mulig er smittet, og et fjerde vil være ansvarlig for den faktiske nyttelasten til ransomware. Forskere fra Kaspersky beskrev systemet nærmere i et blogginnlegg tirsdag, men de nevnte også et par unntak fra regelen.

Vans ransomware fanger ekspertenes oppmerksomhet

Nyttelasten til de to cyberattackene som Kasperskys eksperter beskrev, var VHD ransomware - en relativt ny filkrypterende malware som dukket opp for noen måneder siden. Ransomware i seg selv er ikke spesielt sofistikert. Den gjennomsøker gjennom harddiskene til infiserte verter, krypterer filer med en kombinasjon av AES og RSA, og sletter systemgjenopprettingspunkter for å gjøre innhenting av data vanskeligere. Flere kjennetegn ved angrepene vakte imidlertid forskernes oppmerksomhet.

Den første ble lansert i mars, og ekspertene la merke til at den innebar en veldig interessant mekanisme for spredning gjennom offerets nettverk. Ved hjelp av et automatisert verktøy, brukte hackerne en liste over offer-spesifikke SMB-opplysninger for å brute-force veien til andre datamaskiner, og etter å ha koblet til dem, kopierte de en VHD-ransomware nyttelast og utførte den gjennom WMI-samtaler.

Dette er ikke de teknikkene et hacking-mannskap vil bruke, og ekspertene visste at de sannsynligvis så på noe mer alvorlig. De følte det på samme måte et par måneder senere da de ble kalt inn for å svare på et annet angrep med VHD-løseprogrammet.

Denne gangen var det første inngangspunktet en sårbar VPN-gateway som hackerne fikk administrative rettigheter gjennom og satte ut en bakdør. Etter å ha kompromittert offerets Active Directory-server, fortsatte de kriminelle og distribuerte kopier av VHD-ransomware til et uspesifisert antall datamaskiner.

Da de så nærmere på bakdøren, skjønte forskerne hva de hadde å gjøre med nøyaktig.

Lazarus-forbindelsen

Pennisen falt da forskerne slo fast at bakdøren som ble brukt under det andre angrepet var et eksempel på det de kaller MATA-malware-rammeverket.

Vi har snakket tidligere om hvor hard attribusjon er i cybersecurity-verdenen, men etter å ha undersøkt den nøye, er Kasperskys eksperter ganske sikre på at MATA-rammeverket ble opprettet og brukes av den beryktede Lazarus-hacking-gruppen.

Lazarus er et team av sofistikerte hackere som er ansvarlige for ganske mange massive cyberattacks, inkludert Sony-lekkasjen fra 2014 og lanseringen av OlympicDestroyer-viskeren som lammet kritisk IT-infrastruktur foran vinter-OL i Pyeongchang i 2018. Lazarus antas å være knyttet til den nordkoreanske regjeringen, og navnet har blitt assosiert med alt fra økonomisk motiverte angrep til store nettbaserte kampanjer. I følge Kaspersky er VHD-ransomware deres siste kreasjon.

Ransomware er kanskje ikke spesielt sofistikert, men det har ikke blitt sett i noen andre angrep, og forskerne er ganske sikre på at hackerne ikke leier det fra en annen nettkriminalgjeng. Samtidig er de ganske sikre på at Lazarus er det eneste mannskapet som har tilgang til verktøyene og teknikkene som ble brukt under angrepene i mars og mai.

I stedet for å dele overskuddet med andre nettkriminalitetsantrekk, har Lazarus bestemt seg for å gå alene med VHD-ransomware. Bare tiden vil vise om dette vil være en god strategi, men med tanke på gruppens berømte portefølje av forstyrrende cyberattacks, vil vi ikke satse på det. Hvis du driver en organisasjon som kan være målrettet av Lazarus, må du sørge for at et ransomware-angrep som bruker VHD-ransomware, er i din trusselmodell.

July 29, 2020

Legg igjen et svar