Атаки шифровальщика «Ghost» на организации по всему миру

18 июля 2022 г. 10:10
 536

Хакеры уже более года используют шифровальщика «Holy Ghost» в атаках.

Северокорейские хакеры уже более года используют шифровальщика «Holy Ghost» в атаках, направленных против малых предприятий в разных странах.

 

Шифровальщик «Holy Ghost».

Исследователи из MSTIC отслеживают группу вымогателей Holy Ghost как DEV-0530. В недавнем отчете они утверждают, что первая полезная нагрузка от этой группы была замечена в прошлом году в июне.

  • Ранний вариант Holy Ghost, обнаруженный как SiennaPurple (BTLC_C[.]exe), не обладал большим количеством функций по сравнению с другими версиями на базе Go, появившимися в октябре 2021 года.
  • Последние штаммы отслеживаются как SiennaBlue и включают полезные нагрузки HolyLocker[.]exe, BTLC[.]exe и HolyRS[.]exe.

Оба варианта были созданы и использованы DEV-0530 в своих кампаниях. Однако со временем функционал  этих штаммов расширился, добавив несколько вариантов шифрования, управление открытыми ключами, поддержку интернета/интранета и обфускацию строк.

 

Жертвы.

DEV-0530 успешно атаковал множество целей, включая школы, банки, производственные организации, а также организации, занимающиеся планированием мероприятий и встреч. В основном, злоумышленники требовали от жертв 1,2 - 5 BTC.

 

Связи с Северной Кореей.

По мнению исследователей небольшая частота атак и случайный выбор жертв подтверждают версию о том, что программа Holy Ghost управляется Северной Кореей.

  • MSTIC обнаружила переписку по электронной почте между Holy Ghost и злоумышленником, входящим в группу Lazarus Group (Andariel), предположительно работающую под началом Главного разведывательного бюро Северной Кореи.
  • Кроме того, было замечено, что обе группы действовали с применением одного и того же набора инфраструктуры. Кроме того, они использовали собственные контроллеры вредоносного ПО с похожими названиями, что делает указанную связь более тесной.

 

Заключение

Holy Ghost остается активным более года, но не вызвал никаких тревожных сигналов. Это свидетельствует о том, какие усилия предпринимают злоумышленники, чтобы сохранить скрытность своих операций. Для того чтобы организации оставались защищенными, эксперты рекомендуют совместные действия, включая обмен индикаторами компрометации при изучении вредоносного ПО.

Источник: https://cyware.com

Системы Информационной Безопасности