Badacze przypisują dwa ukierunkowane ataki ransomware grupie Lazarus hacking

Hollywood chciałoby, żebyś uwierzył, że nastoletni hakerzy w bluzach z kapturem mogą zniszczyć całe miliardy dolarów korporacyjnych gigantów z niewygody w piwnicy ich rodziców. Jednak w prawdziwym świecie rzeczy tak naprawdę nie działają w ten sposób. Wyrafinowane cyberataki są przeprowadzane przez doświadczonych przestępców, którzy mają do dyspozycji wiele zasobów.

Kampanie ransomware wymierzone w określone organizacje to niezwykle skomplikowane operacje, które często obejmują kilka oddzielnych ekip hakerskich, które wykonują różne zadania. Na przykład jeden zespół byłby odpowiedzialny za zapewnienie infrastruktury dowodzenia i kontroli (C&C), drugi naraziłby sieć ofiary, trzeci zapewniłby zainfekowanie jak największej liczby komputerów, a czwarty byłby odpowiedzialny za rzeczywisty ładunek ransomware. Naukowcy z Kaspersky bardziej szczegółowo opisali system we wtorek na blogu, ale wspomnieli też o kilku wyjątkach od reguły.

Ransomware VHD przyciąga uwagę ekspertów

Ładunkiem dwóch cyberataków opisanych przez ekspertów z firmy Kaspersky było oprogramowanie ransomware VHD - stosunkowo nowe szkodliwe oprogramowanie szyfrujące pliki, które pojawiło się kilka miesięcy temu. Samo oprogramowanie ransomware nie jest szczególnie wyrafinowane. Przeszukuje dyski twarde zainfekowanych hostów, szyfruje pliki za pomocą kombinacji AES i RSA oraz usuwa punkty przywracania systemu, aby utrudnić odzyskiwanie danych. Jednak uwagę badaczy zwróciło kilka cech charakterystycznych ataków.

Pierwsza została uruchomiona w marcu i eksperci zauważyli, że zawiera ona bardzo ciekawy mechanizm rozprzestrzeniania się w sieci ofiary. Z pomocą zautomatyzowanego narzędzia hakerzy wykorzystali listę poświadczeń SMB specyficznych dla ofiary, aby brutalnie przedostać się do innych komputerów, a po pomyślnym połączeniu się z nimi skopiowali ładunek ransomware VHD i wykonali go za pośrednictwem wywołań WMI.

Nie są to techniki, których użyłaby zwyczajna ekipa hakerska, a eksperci wiedzieli, że prawdopodobnie patrzą na coś poważniejszego. Poczuli się tak samo kilka miesięcy później, gdy zostali wezwani do odpowiedzi na kolejny atak wykorzystujący oprogramowanie ransomware VHD.

Tym razem początkowym punktem wejścia była podatna na ataki brama VPN, przez którą hakerzy uzyskali uprawnienia administracyjne i wdrożyli tylne wejście. Po włamaniu na serwer Active Directory ofiary przestępcy przystąpili do dystrybucji kopii ransomware VHD na nieokreśloną liczbę komputerów.

Kiedy przyjrzeli się bliżej backdoorowi, naukowcy zdali sobie sprawę, z czym dokładnie mają do czynienia.

Połączenie Łazarza

Grosz spadł, gdy naukowcy ustalili, że backdoor użyty podczas drugiego ataku był przykładem tego, co nazywają szkieletem złośliwego oprogramowania MATA.

W przeszłości rozmawialiśmy o tym, jak trudna jest atrybucja w świecie cyberbezpieczeństwa, ale po dokładnym zbadaniu tego eksperci z Kaspersky Lab są prawie pewni, że struktura MATA została stworzona i jest używana przez niesławną grupę hakerską Lazarus.

Lazarus to zespół wyrafinowanych hakerów odpowiedzialnych za kilka masowych cyberataków, w tym wyciek Sony z 2014 roku i uruchomienie wycieraczki OlympicDestroyer, która sparaliżowała krytyczną infrastrukturę IT przed Zimowymi Igrzyskami Olimpijskimi w Pjongczangu w 2018 roku. Uważa się, że Lazarus jest powiązany z rząd Korei Północnej, a jego nazwa była kojarzona ze wszystkim, od ataków motywowanych finansowo po duże kampanie cyberszpiegowskie. Według firmy Kaspersky ransomware VHD to ich najnowsze dzieło.

Oprogramowanie ransomware może nie być specjalnie wyrafinowane, ale nie było widoczne w żadnych innych atakach, a naukowcy są prawie pewni, że hakerzy nie wypożyczają go od innego gangu cyberprzestępczego. Jednocześnie są prawie pewni, że Lazarus jest jedyną załogą, która ma dostęp do narzędzi i technik używanych podczas ataków w marcu i maju.

Zamiast dzielić się zyskami z innymi firmami zajmującymi się cyberprzestępczością, Lazarus postanowił zająć się tym sam na sam z ransomware VHD. Tylko czas pokaże, czy to będzie dobra strategia, ale biorąc pod uwagę znakomity portfel destrukcyjnych cyberataków grupy, nie postawilibyśmy przeciwko temu. Jeśli prowadzisz organizację, która może być celem ataku Lazarusa, musisz upewnić się, że atak ransomware przy użyciu oprogramowania ransomware VHD znajduje się w Twoim modelu zagrożeń.