Onderzoekers schrijven twee gerichte ransomware-aanvallen toe aan de Lazarus Hacking Group

Lazarus VHD Ransomware

Hollywood zou je doen geloven dat tienerhackers die hoodies dragen, hele bedrijfsreuzen die miljarden dollars waard zijn, kunnen neerhalen vanwege het ongemak van de kelder van hun ouders. In de echte wereld werkt het echter niet zo. Geavanceerde cyberaanvallen worden uitgevoerd door ervaren criminelen die over veel middelen beschikken.

Ransomwarecampagnes die op specifieke organisaties zijn gericht, zijn uiterst gecompliceerde operaties waarbij vaak verschillende afzonderlijke hackploegen betrokken zijn die allemaal aan verschillende taken werken. Een team zou bijvoorbeeld verantwoordelijk zijn voor het leveren van de Command & Control (C&C) -infrastructuur, een tweede zou het netwerk van het slachtoffer in gevaar brengen, een derde zou ervoor zorgen dat zoveel mogelijk computers worden geïnfecteerd en een vierde zou verantwoordelijk zijn voor de daadwerkelijke ransomware-payload. Onderzoekers van Kaspersky hebben het systeem dinsdag gedetailleerder beschreven in een blogpost, maar ze noemden ook een paar uitzonderingen op de regel.

De VHD-ransomware trekt de aandacht van de experts

De payload van de twee cyberaanvallen die de experts van Kaspersky beschreven, was de VHD-ransomware - een relatief nieuwe bestandscoderende malware die enkele maanden geleden verscheen. De ransomware zelf is niet bijzonder geavanceerd. Het kruipt door de harde schijven van geïnfecteerde hosts, versleutelt bestanden met een combinatie van AES en RSA en verwijdert systeemherstelpunten om het ophalen van de gegevens te bemoeilijken. Verschillende kenmerken van de aanvallen trokken wel de aandacht van de onderzoekers.

De eerste werd in maart gelanceerd en de experts merkten dat het een zeer interessant mechanisme betrof om zich door het netwerk van het slachtoffer te verspreiden. Met behulp van een geautomatiseerde tool gebruikten de hackers een lijst met slachtoffer-specifieke SMB-inloggegevens om hun weg brutaal naar andere computers te dwingen, en nadat ze succesvol verbinding hadden gemaakt, kopieerden ze een VHD-ransomware-payload en voerden deze uit via WMI-aanroepen.

Dit zijn niet de technieken die een gewone hackploeg zou gebruiken, en de experts wisten dat ze waarschijnlijk naar iets ernstigers keken. Een paar maanden later voelden ze zich op dezelfde manier toen ze werden opgeroepen om te reageren op een nieuwe aanval met de VHD-ransomware.

Deze keer was het eerste toegangspunt een kwetsbare VPN-gateway waardoor de hackers administratieve privileges kregen en een achterdeur inzetten. Na de Active Directory-server van het slachtoffer in gevaar te hebben gebracht, verspreidden de criminelen vervolgens kopieën van de VHD-ransomware naar een niet-gespecificeerd aantal computers.

Toen ze de achterdeur van dichterbij bekeken, realiseerden de onderzoekers zich waar ze precies mee te maken hadden.

De Lazarus-verbinding

De cent daalde toen de onderzoekers ontdekten dat de achterdeur die tijdens de tweede aanval werd gebruikt, een voorbeeld was van wat zij het MATA-malwarekader noemen.

We hebben in het verleden gesproken over hoe moeilijk attributie is in de cyberbeveiligingswereld, maar nadat ze het zorgvuldig hebben onderzocht, zijn de experts van Kaspersky er vrijwel zeker van dat het MATA-framework is gemaakt en wordt gebruikt door de beruchte Lazarus-hackgroep.

Lazarus is een team van geavanceerde hackers die verantwoordelijk zijn voor een flink aantal enorme cyberaanvallen, waaronder het Sony-lek uit 2014 en de lancering van de OlympicDestroyer-wisser die de kritieke IT-infrastructuur verlamde voorafgaand aan de Olympische Winterspelen in Pyeongchang in 2018. Lazarus zou verband houden met de Noord-Koreaanse regering, en haar naam wordt in verband gebracht met alles, van financieel gemotiveerde aanvallen tot grote cyberspionagecampagnes. Volgens Kaspersky is de VHD-ransomware hun nieuwste creatie.

De ransomware is misschien niet bijzonder geavanceerd, maar is bij geen enkele andere aanval gezien en de onderzoekers zijn er vrij zeker van dat de hackers het niet van een andere cybercriminaliteitbende huren. Tegelijkertijd zijn ze er vrijwel zeker van dat Lazarus de enige bemanning is die toegang heeft tot de instrumenten en technieken die tijdens de aanvallen in maart en mei zijn gebruikt.

In plaats van de winst te delen met andere cybercrime-outfits, heeft Lazarus besloten om het alleen te doen met de VHD-ransomware. Alleen de tijd zal uitwijzen of dit een goede strategie zal zijn, maar gezien het illustere portfolio van ontwrichtende cyberaanvallen van de groep, zouden we er niet tegen wedden. Als u een organisatie runt die mogelijk het doelwit is van Lazarus, moet u ervoor zorgen dat een ransomware-aanval met de VHD-ransomware deel uitmaakt van uw bedreigingsmodel.

July 29, 2020

Laat een antwoord achter