Για περισσότερο από ένα χρόνο, Βορειοκορεάτες χάκερ εκτελούν μια επιχείρηση ransomware που ονομάζεται HolyGhost, επιτιθέμενες σε μικρές επιχειρήσεις σε διάφορες χώρες.
Η ομάδα δραστηριοποιείται για αρκετό καιρό, αλλά δεν κατάφερε να κερδίσει τη φήμη και την οικονομική επιτυχία άλλων συμμοριών, ακόμα κι αν η επιχείρηση ακολουθούσε την ίδια συνταγή: διπλός εκβιασμός σε συνδυασμό με ιστότοπο διαρροής για τη δημοσίευση των ονομάτων των θυμάτων και των κλεμμένων δεδομένων.
Ευκαιριακές επιθέσεις, μικρές απαιτήσεις
Ερευνητές στο Microsoft Threat Intelligence Center (MSTIC) παρακολουθούν τη συμμορία ransomware Holy Ghost ως DEV-0530. Σε μια αναφορά νωρίτερα σήμερα, λένε ότι το πρώτο ωφέλιμο φορτίο από αυτόν τον παράγοντα απειλής εμφανίστηκε πέρυσι τον Ιούνιο.
Ταξινομημένη ως SiennaPurple (BTLC_C.exe), η πρώιμη παραλλαγή ransomware Holy Ghost δεν είχε πολλές δυνατότητες σε σύγκριση με τις επόμενες εκδόσεις που βασίζονται σε Go που εμφανίστηκαν τον Οκτώβριο του 2021.
Η Microsoft παρακολουθεί τις νεότερες παραλλαγές ως SiennaBlue (HolyRS.exe, HolyLocker.exe και BTLC.exe) και σημειώνει ότι η λειτουργικότητά τους επεκτάθηκε με την πάροδο του χρόνου για να συμπεριλάβει πολλαπλές επιλογές κρυπτογράφησης, συσκότιση συμβολοσειρών, διαχείριση δημόσιου κλειδιού και υποστήριξη Διαδικτύου/Intranet.
Microsoft
Οι ερευνητές λένε ότι το DEV-0530 κατάφερε να θέσει σε κίνδυνο πολλούς στόχους, κυρίως μικρές έως μεσαίες επιχειρήσεις. Ανάμεσα στα θύματα ήταν τράπεζες, σχολεία, κατασκευαστικοί οργανισμοί και εταιρείες σχεδιασμού εκδηλώσεων και συνεδριάσεων.
«Η θυματολογία δείχνει ότι αυτά τα θύματα είναι πιθανότατα στόχοι ευκαιρίας. Η MSTIC υποπτεύεται ότι το DEV-0530 μπορεί να έχει εκμεταλλευτεί ευπάθειες όπως το CVE-2022-26352 (ευπάθεια εκτέλεσης απομακρυσμένου κώδικα DotCMS) σε εφαρμογές ιστού που αντιμετωπίζουν το κοινό και συστήματα διαχείρισης περιεχομένου για να αποκτήσει αρχική πρόσβαση σε δίκτυα-στόχους» – του Microsoft Threat Intelligence Center
H Holy Ghost ακολούθησε το πρότυπο μιας τυπικής επίθεσης ransomware και έκλεψε δεδομένα πριν αναπτύξει τη ρουτίνα κρυπτογράφησης σε μολυσμένα συστήματα.
Ο εισβολέας άφησε ένα σημείωμα λύτρων στο παραβιασμένο μηχάνημα και έστειλε επίσης email στο θύμα με έναν σύνδεσμο προς ένα δείγμα κλεμμένων δεδομένων για να ανακοινώσει ότι ήταν πρόθυμος να διαπραγματευτεί λύτρα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης.
Σημείωση για τα λύτρα του Αγίου Πνεύματος
Microsoft
Συνήθως, οι ηθοποιοί απαιτούσαν μια μικρή πληρωμή μεταξύ 1,2 έως 5 bitcoin ή έως και περίπου 100.000 $ με την τρέχουσα συναλλαγματική ισοτιμία.
Ακόμα κι αν οι απαιτήσεις δεν ήταν μεγάλες, ο εισβολέας ήταν πρόθυμος να διαπραγματευτεί και μερικές φορές μείωσε την τιμή σε λιγότερο από το ένα τρίτο της αρχικής ζήτησης, λέει η MSTIC.
