Grupul de hackeri Lazarus „vânează” recompense financiare cu un nou ransomware

„O analiză de incident realizată de Kaspersky în legătură cu două cazuri din Europa şi Asia a scos la iveală faptul că ransomware-ul VHD – apărut pentru prima dată public în primăvara anului 2020 – este deţinut şi operat de Lazarus, o importantă grupare APT din Coreea de Nord. Decizia Lazarus de a crea şi distribui ransomware indică o schimbare de strategie şi, totodată, faptul că sunt pregătiţi să treacă la o mare vânătoare de bani, un lucru neobişnuit pentru grupările APT sponsorizate de stat. În martie şi aprilie 2020, mai multe organizaţii de securitate cibernetică, inclusiv Kaspersky, au raportat despre ransomware-ul VHD: un program periculos, destinat extorsiunii banilor de la victime, care s-a remarcat prin metoda sa de auto-replicare”, explică experţii într-un comunicat de presă, transmis miercuri AGERPRES.

Potrivit sursei citate, acest malware, care se folosea de utilitare de răspândire, compilate cu datele specifice ale victimei, semăna foarte mult cu campaniile APT.

„În timp ce, la vremea respectivă, actorul din spatele atacurilor nu a fost identificat, cercetătorii Kaspersky au găsit o legătură între ransomware-ul VHD şi gruparea Lazarus, în urma analizei unui incident în care acesta a fost folosit alături de instrumentele cunoscute ale lui Lazarus împotriva unor companii din Franţa şi Asia. Între martie şi mai 2020, au fost întreprinse două investigaţii separate care au implicat ransomware-ul. În timp ce primul incident, care a avut loc în Europa, nu a oferit prea multe indicii cu privire la cine se afla în spatele său, tehnicile de răspândire similare celor utilizate de grupările APT au alimentat curiozitatea cercetătorilor. În plus, atacul nu s-a potrivit cu modul de operare obişnuit al grupărilor care atacau pe scară largă. De asemenea, faptul că a fost disponibil un număr foarte limitat de eşantioane de ransomware VHD – însoţite de foarte puţine referinţe publice – sugera că această familie de ransomware nu putea fi valorificată pe scară largă pe forumurile de pe piaţa neagră, cum s-ar fi întâmplat în mod normal”, se menţionează în analiza celor de la Kaspersky.

Pe parcursul investigaţiei de specialitate s-a mai descoperit că al doilea incident care a implicat ransomware-ul VHD a oferit o imagine completă asupra lanţului de infectare şi a permis cercetătorilor să facă legătura între ransomware şi gruparea Lazarus.

„Printre altele, şi cel mai important lucru, a fost acela că atacatorii au folosit un backdoor care făcea parte dintr-un framework multiplatformă, numit MATA, şi pe care cercetătorii Kaspersky l-au analizat în detaliu, ajungând la concluzia că este legat de Lazarus, acesta având numeroase similarităţi de cod şi de utilitate. Conexiunea stabilită a indicat faptul că Lazarus se afla în spatele campaniilor de ransomware VHD care fuseseră documentate până atunci. Aceasta este prima dată când s-a stabilit că gruparea Lazarus a recurs la atacuri ţintite pentru câştig financiar, operând exclusiv cu propriul ransomware, creat de ea, o practică atipică în ecosistemul de atacuri cibernetice”, notează specialiştii.

Ameninţarea de tip ransomware este un cod rău intenţionat care blochează sau criptează conţinutul unui dispozitiv (telefon mobil, computer, server, device Internet of Things – IoT etc.) şi solicită o răscumpărare pentru a restabili accesul la date.

Grupul Lazarus, cunoscut pentru operaţiunile sale complexe şi legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj şi sabotaj cibernetic, ci şi prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor şi a altor companii financiare de către grup.

Celebru pentru furtul a 81 de milioane de dolari din Banca Centrală din Bangladesh, în urmă cu patru ani, atacul Lazarus se prezintă ca un malware care a făcut „carieră” prin atacurile îndreptate către instituţii financiare, cazinouri, companii care operează cu criptomonede şi dezvoltatori de software pentru companii de investiţii.

Atacul de amploare al Lazarus a avut loc în luna februarie 2016, iar grupul necunoscut la acea vreme a încercat să sustragă de fapt 851 de milioane de dolari, însă în cele din urmă a trebuit să se mulţumească cu puţin peste 10% din total.

Kaspersky este o companie de securitate IT care oferă soluţii de securitate în domeniu, prin care protejează peste 400 de milioane de utilizatori individuali şi 270.000 de companii.