Αρκετά στελέχη ransomware έχουν συνδεθεί με την APT38, μια ομάδα hacking που χρηματοδοτείται από τη Βόρεια Κορέα, γνωστή για την εστίασή της στη στόχευση και την κλοπή κεφαλαίων από χρηματοπιστωτικά ιδρύματα παγκοσμίως.
Είναι επίσης γνωστοί για την ανάπτυξη καταστροφικού κακόβουλου λογισμικού στα δίκτυα των θυμάτων τους κατά το τελευταίο στάδιο των επιθέσεων τους, πιθανόν να καταστρέψουν τυχόν ίχνη της δραστηριότητάς τους.
Ο Christiaan Beek, επικεφαλής ερευνητής απειλών στην εταιρεία κυβερνοασφάλειας Trellix, είπε ότι οι χειριστές του ομίλου (μέρος της Μονάδας 180 του κυβερνοστρατού της Βόρειας Κορέας Bureau 121) έχουν χρησιμοποιήσει επίσης τις οικογένειες ransomware Beaf, PXJ, ZZZZ και ChiChi για να εκβιάσουν ορισμένες από τις θύματα.
Οι σύνδεσμοι προς το APT38 βρέθηκαν κατά την ανάλυση της ομοιότητας κώδικα και τεχνουργημάτων με το ransomware VHD, το οποίο, όπως ακριβώς και το TFlower ransomware, συνδέθηκε με την ομάδα Lazarus APT της Βόρειας Κορέας.
Οι ερευνητές της Kaspersky και της Sygnia έκαναν τη σύνδεση αφού είδαν τα δύο στελέχη να αναπτύσσονται στα δίκτυα των θυμάτων μέσω του πλαισίου κακόβουλου λογισμικού MATA, ένα κακόβουλο εργαλείο που χρησιμοποιείται αποκλειστικά από χειριστές Lazarus, σύμφωνα με την Kaspersky.
Ο Beek αποκάλυψε την Τετάρτη ότι – με βάση την οπτικοποίηση του κώδικα χρησιμοποιώντας χαρτογράφηση καμπύλης Hilbert – τα PXJ, Beaf και ZZZZ μοιράζονται έναν αξιοσημείωτο όγκο πηγαίου κώδικα και λειτουργικότητας με το VHD και το TFlower ransomware, με το Beaf και το ZZZZ να είναι σχεδόν ακριβείς κλώνοι του άλλου.
“Δεν χρειάζεται να είστε ειδικός σε κακόβουλο λογισμικό για να αναγνωρίσετε αμέσως ότι οι εικόνες ZZZ και BEAF Ransomware είναι σχεδόν πανομοιότυπες”, είπε ο ερευνητής της Trellix.
«Γίνεται επίσης προφανές ότι τόσο το Tflower όσο και το ChiChi είναι πολύ διαφορετικά σε σύγκριση με το VHD».