Forskare tillskriver två riktade Ransomware-attacker till Lazarus Hacking Group

Hollywood skulle få dig att tro att hoodie-bärande tonårs hackare kan föra ner hela företagets jättar värda miljarder dollar från obehag i deras förälders källare. I den verkliga världen fungerar emellertid saker inte så. Sofistikerade cyberattacker utförs av erfarna brottslingar som har mycket resurser till sitt förfogande.

Ransomware-kampanjer som riktar sig till specifika organisationer är extremt komplicerade operationer som ofta involverar flera separata hackande besättningar som alla arbetar med olika uppgifter. Ett team skulle till exempel ansvara för att tillhandahålla infrastrukturen Command & Control (C&C), ett andra skulle kompromissa offrets nätverk, ett tredje skulle se till att så många datorer som möjligt är smittade och en fjärde skulle vara ansvarig för den faktiska ransomware nyttolasten. Forskare från Kaspersky beskrev systemet mer detaljerat i ett blogginlägg på tisdag, men de nämnde också ett par undantag från regeln.

VHD-ransomware fångar experternas uppmärksamhet

Nyttan för de två cyberattacker som Kasperskys experter beskrev var VHD-ransomware - en relativt ny filkrypterande skadlig programvara som dök upp för några månader sedan. Ransomware i sig är inte särskilt sofistikerat. Den kryper igenom hårddiskarna på infekterade värdar, krypterar filer med en kombination av AES och RSA och tar bort systemåterställningspunkter för att göra hämtningen av data svårare. Flera egenskaper hos attackerna fick dock forskarnas uppmärksamhet.

Den första lanserades i mars och experterna märkte att det innebar en mycket intressant mekanism för spridning genom offrets nätverk. Med hjälp av ett automatiserat verktyg använde hackarna en lista med offer-specifika SMB-referenser för att brute-tvinga sig till andra datorer, och efter att ha lyckats ansluta till dem, kopierade de en VHD-ransomware-nyttolast och utförde den via WMI-samtal.

Det här är inte de tekniker som en hacking-besättning skulle använda, och experterna visste att de förmodligen tittade på något mer allvarligt. De kände på samma sätt ett par månader senare när de kallades in för att svara på en annan attack med VHD-ransomware.

Den här gången var den ursprungliga inresepunkten en sårbar VPN-gateway genom vilken hackarna fick administrativa privilegier och distribuerade en bakdörr. Efter att ha kompromitterat offrets Active Directory-server fortsatte brottslingarna att distribuera kopior av VHD-ransomware till ett ospecificerat antal datorer.

När de tittade närmare på bakdörren insåg forskarna vad de hade att göra med exakt.

Lazarus-anslutningen

Valutan tappade när forskarna bestämde att bakdörren som användes under den andra attacken var ett exempel på vad de kallar MATA-skadliga ramverk.

Vi har tidigare pratat om hur hård attribution är i cybersecurity-världen, men efter att ha undersökt den noggrant är Kasperskys experter ganska mycket säkra på att MATA-ramverket skapades och används av den ökända Lazarus-hackinggruppen.

Lazarus är ett team av sofistikerade hackare som ansvarar för ganska många massiva cyberattacker, inklusive Sony-läckan från 2014 och lanseringen av OlympicDestroyer-torkaren som förlamade kritisk IT-infrastruktur före Vinter-OS i Pyeongchang 2018. Lazarus tros vara kopplad till den nordkoreanska regeringen, och dess namn har förknippats med allt från ekonomiskt motiverade attacker till stora cyberespionage-kampanjer. Enligt Kaspersky är VHD-ransomware deras senaste skapelse.

Ransomware kanske inte är särskilt sofistikerat, men det har inte sett i några andra attacker, och forskarna är ganska säkra på att hackarna inte hyr det från en annan cyberbrottsgrupp. Samtidigt är de ganska säkra på att Lazarus är den enda besättningen som har tillgång till de verktyg och tekniker som använts under attackerna i mars och maj.

Istället för att dela vinsterna med andra cyberbrottsutrustningar har Lazarus beslutat att gå ensam med VHD-ransomware. Endast tiden kommer att visa om detta kommer att vara en bra strategi, men med tanke på gruppens berömda portfölj av störande cyberattacker, skulle vi inte satsa på det. Om du driver en organisation som kan vara riktad av Lazarus måste du se till att en ransomware-attack med VHD-ransomware finns i din hotmodell.