Onderzoekers schrijven twee gerichte ransomware-aanvallen toe aan de Lazarus Hacking Group

Lazarus VHD Ransomware

Hollywood zou je doen geloven dat tienerhackers die hoodies dragen, hele bedrijfsreuzen die miljarden dollars waard zijn, kunnen neerhalen vanwege het ongemak van de kelder van hun ouders. In de echte wereld werkt het echter niet zo. Geavanceerde cyberaanvallen worden uitgevoerd door ervaren criminelen die over veel middelen beschikken.

Ransomwarecampagnes die op specifieke organisaties zijn gericht, zijn uiterst gecompliceerde operaties waarbij vaak verschillende afzonderlijke hackploegen betrokken zijn die allemaal aan verschillende taken werken. Een team zou bijvoorbeeld verantwoordelijk zijn voor het leveren van de Command & Control (C&C) -infrastructuur, een tweede zou het netwerk van het slachtoffer in gevaar brengen, een derde zou ervoor zorgen dat zoveel mogelijk computers worden geïnfecteerd en een vierde zou verantwoordelijk zijn voor de daadwerkelijke ransomware-payload. Onderzoekers van Kaspersky hebben het systeem dinsdag gedetailleerder beschreven in een blogpost, maar ze noemden ook een paar uitzonderingen op de regel.

De VHD-ransomware trekt de aandacht van de experts

De payload van de twee cyberaanvallen die de experts van Kaspersky beschreven, was de VHD-ransomware - een relatief nieuwe bestandscoderende malware die enkele maanden geleden verscheen. De ransomware zelf is niet bijzonder geavanceerd. Het kruipt door de harde schijven van geïnfecteerde hosts, versleutelt bestanden met een combinatie van AES en RSA en verwijdert systeemherstelpunten om het ophalen van de gegevens te bemoeilijken. Verschillende kenmerken van de aanvallen trokken wel de aandacht van de onderzoekers.

De eerste werd in maart gelanceerd en de experts merkten dat het een zeer interessant mechanisme betrof om zich door het netwerk van het slachtoffer te verspreiden. Met behulp van een geautomatiseerde tool gebruikten de hackers een lijst met slachtoffer-specifieke SMB-inloggegevens om hun weg brutaal naar andere computers te dwingen, en nadat ze succesvol verbinding hadden gemaakt, kopieerden ze een VHD-ransomware-payload en voerden deze uit via WMI-aanroepen.

Dit zijn niet de technieken die een gewone hackploeg zou gebruiken, en de experts wisten dat ze waarschijnlijk naar iets ernstigers keken. Een paar maanden later voelden ze zich op dezelfde manier toen ze werden opgeroepen om te reageren op een nieuwe aanval met de VHD-ransomware.

Deze keer was het eerste toegangspunt een kwetsbare VPN-gateway waardoor de hackers administratieve privileges kregen en een achterdeur inzetten. Na de Active Directory-server van het slachtoffer in gevaar te hebben gebracht, verspreidden de criminelen vervolgens kopieën van de VHD-ransomware naar een niet-gespecificeerd aantal computers.

Toen ze de achterdeur van dichterbij bekeken, realiseerden de onderzoekers zich waar ze precies mee te maken hadden.

De Lazarus-verbinding

De cent daalde toen de onderzoekers ontdekten dat de achterdeur die tijdens de tweede aanval werd gebruikt, een voorbeeld was van wat zij het MATA-malwarekader noemen.

We hebben in het verleden gesproken over hoe moeilijk attributie is in de cyberbeveiligingswereld, maar nadat ze het zorgvuldig hebben onderzocht, zijn de experts van Kaspersky er vrijwel zeker van dat het MATA-framework is gemaakt en wordt gebruikt door de beruchte Lazarus-hackgroep.

Lazarus is een team van geavanceerde hackers die verantwoordelijk zijn voor een flink aantal enorme cyberaanvallen, waaronder het Sony-lek uit 2014 en de lancering van de OlympicDestroyer-wisser die de kritieke IT-infrastructuur verlamde voorafgaand aan de Olympische Winterspelen in Pyeongchang in 2018. Lazarus zou verband houden met de Noord-Koreaanse regering, en haar naam wordt in verband gebracht met alles, van financieel gemotiveerde aanvallen tot grote cyberspionagecampagnes. Volgens Kaspersky is de VHD-ransomware hun nieuwste creatie.

De ransomware is misschien niet bijzonder geavanceerd, maar is bij geen enkele andere aanval gezien en de onderzoekers zijn er vrij zeker van dat de hackers het niet van een andere cybercriminaliteitbende huren. Tegelijkertijd zijn ze er vrijwel zeker van dat Lazarus de enige bemanning is die toegang heeft tot de instrumenten en technieken die tijdens de aanvallen in maart en mei zijn gebruikt.

In plaats van de winst te delen met andere cybercrime-outfits, heeft Lazarus besloten om het alleen te doen met de VHD-ransomware. Alleen de tijd zal uitwijzen of dit een goede strategie zal zijn, maar gezien het illustere portfolio van ontwrichtende cyberaanvallen van de groep, zouden we er niet tegen wedden. Als u een organisatie runt die mogelijk het doelwit is van Lazarus, moet u ervoor zorgen dat een ransomware-aanval met de VHD-ransomware deel uitmaakt van uw bedreigingsmodel.

Tegen Duran
July 29, 2020
News
Nederlands
July 29, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.