Grupul de hackeri Lazarus „vânează” recompense financiare cu un nou ransomware

Membrii grupării Lazarus au demarat "o mare vânătoare de bani" prin distribuirea ransomware-ului VHD, apărut pentru prima dată public în primăvara acestui an, avertizează specialiştii Kaspersky.
Lidia Neagu - mie, 29 iul. 2020, 11:17
Grupul de hackeri Lazarus

„O analiză de incident realizată de Kaspersky în legătură cu două cazuri din Europa şi Asia a scos la iveală faptul că ransomware-ul VHD – apărut pentru prima dată public în primăvara anului 2020 – este deţinut şi operat de Lazarus, o importantă grupare APT din Coreea de Nord. Decizia Lazarus de a crea şi distribui ransomware indică o schimbare de strategie şi, totodată, faptul că sunt pregătiţi să treacă la o mare vânătoare de bani, un lucru neobişnuit pentru grupările APT sponsorizate de stat. În martie şi aprilie 2020, mai multe organizaţii de securitate cibernetică, inclusiv Kaspersky, au raportat despre ransomware-ul VHD: un program periculos, destinat extorsiunii banilor de la victime, care s-a remarcat prin metoda sa de auto-replicare”, explică experţii într-un comunicat de presă, transmis miercuri AGERPRES.

Potrivit sursei citate, acest malware, care se folosea de utilitare de răspândire, compilate cu datele specifice ale victimei, semăna foarte mult cu campaniile APT.

„În timp ce, la vremea respectivă, actorul din spatele atacurilor nu a fost identificat, cercetătorii Kaspersky au găsit o legătură între ransomware-ul VHD şi gruparea Lazarus, în urma analizei unui incident în care acesta a fost folosit alături de instrumentele cunoscute ale lui Lazarus împotriva unor companii din Franţa şi Asia. Între martie şi mai 2020, au fost întreprinse două investigaţii separate care au implicat ransomware-ul. În timp ce primul incident, care a avut loc în Europa, nu a oferit prea multe indicii cu privire la cine se afla în spatele său, tehnicile de răspândire similare celor utilizate de grupările APT au alimentat curiozitatea cercetătorilor. În plus, atacul nu s-a potrivit cu modul de operare obişnuit al grupărilor care atacau pe scară largă. De asemenea, faptul că a fost disponibil un număr foarte limitat de eşantioane de ransomware VHD – însoţite de foarte puţine referinţe publice – sugera că această familie de ransomware nu putea fi valorificată pe scară largă pe forumurile de pe piaţa neagră, cum s-ar fi întâmplat în mod normal”, se menţionează în analiza celor de la Kaspersky.

Pe parcursul investigaţiei de specialitate s-a mai descoperit că al doilea incident care a implicat ransomware-ul VHD a oferit o imagine completă asupra lanţului de infectare şi a permis cercetătorilor să facă legătura între ransomware şi gruparea Lazarus.

„Printre altele, şi cel mai important lucru, a fost acela că atacatorii au folosit un backdoor care făcea parte dintr-un framework multiplatformă, numit MATA, şi pe care cercetătorii Kaspersky l-au analizat în detaliu, ajungând la concluzia că este legat de Lazarus, acesta având numeroase similarităţi de cod şi de utilitate. Conexiunea stabilită a indicat faptul că Lazarus se afla în spatele campaniilor de ransomware VHD care fuseseră documentate până atunci. Aceasta este prima dată când s-a stabilit că gruparea Lazarus a recurs la atacuri ţintite pentru câştig financiar, operând exclusiv cu propriul ransomware, creat de ea, o practică atipică în ecosistemul de atacuri cibernetice”, notează specialiştii.

Ameninţarea de tip ransomware este un cod rău intenţionat care blochează sau criptează conţinutul unui dispozitiv (telefon mobil, computer, server, device Internet of Things – IoT etc.) şi solicită o răscumpărare pentru a restabili accesul la date.

Grupul Lazarus, cunoscut pentru operaţiunile sale complexe şi legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj şi sabotaj cibernetic, ci şi prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor şi a altor companii financiare de către grup.

Celebru pentru furtul a 81 de milioane de dolari din Banca Centrală din Bangladesh, în urmă cu patru ani, atacul Lazarus se prezintă ca un malware care a făcut „carieră” prin atacurile îndreptate către instituţii financiare, cazinouri, companii care operează cu criptomonede şi dezvoltatori de software pentru companii de investiţii.

Atacul de amploare al Lazarus a avut loc în luna februarie 2016, iar grupul necunoscut la acea vreme a încercat să sustragă de fapt 851 de milioane de dolari, însă în cele din urmă a trebuit să se mulţumească cu puţin peste 10% din total.

Kaspersky este o companie de securitate IT care oferă soluţii de securitate în domeniu, prin care protejează peste 400 de milioane de utilizatori individuali şi 270.000 de companii. 

Te-ar mai putea interesa și
Ciucă: Am pierdut politic fiindcă am format o coaliţie cu PSD
Ciucă: Am pierdut politic fiindcă am format o coaliţie cu PSD
Preşedintele PNL, Nicolae Ciucă, candidat al partidului pentru funcţia de şef al statului, a declarat joi seara, la Craiova, că PNL a pierdut politic, fiindcă a făcut o coaliţie cu PSD....
Ciucă: PSD va pierde încă o dată alegerile prezidenţiale
Ciucă: PSD va pierde încă o dată alegerile prezidenţiale
Preşedintele PNL, Nicolae Ciucă, candidat al partidului pentru funcţia de şef al statului, a declarat joi seara, la Craiova, ...
AROBS Engineering începe testarea prototipului AlertBox, care va conecta Starlink și Iridium la sistemele naționale de management al situațiilor de urgență
AROBS Engineering începe testarea prototipului AlertBox, care va conecta Starlink și Iridium la sistemele naționale de ...
AROBS Engineering, parte a grupului AROBS, cea mai mare companie de tehnologie listată la Bursa de Valori București, anunță ...
Oppo lansează în România telefonul Find X8 Pro, echipat cu camere Hasselblad și ColorOS 15
Oppo lansează în România telefonul Find X8 Pro, echipat cu camere Hasselblad și ColorOS 15
OPPO a lansat la nivel global seria Find X8, Europa fiind regiunea care prezintă în exclusivitate modelul premium, Find ...