Grupul de hackeri Lazarus „vânează” recompense financiare cu un nou ransomware

Membrii grupării Lazarus au demarat "o mare vânătoare de bani" prin distribuirea ransomware-ului VHD, apărut pentru prima dată public în primăvara acestui an, avertizează specialiştii Kaspersky.
Lidia Neagu - mie, 29 iul. 2020, 11:17
Grupul de hackeri Lazarus

„O analiză de incident realizată de Kaspersky în legătură cu două cazuri din Europa şi Asia a scos la iveală faptul că ransomware-ul VHD – apărut pentru prima dată public în primăvara anului 2020 – este deţinut şi operat de Lazarus, o importantă grupare APT din Coreea de Nord. Decizia Lazarus de a crea şi distribui ransomware indică o schimbare de strategie şi, totodată, faptul că sunt pregătiţi să treacă la o mare vânătoare de bani, un lucru neobişnuit pentru grupările APT sponsorizate de stat. În martie şi aprilie 2020, mai multe organizaţii de securitate cibernetică, inclusiv Kaspersky, au raportat despre ransomware-ul VHD: un program periculos, destinat extorsiunii banilor de la victime, care s-a remarcat prin metoda sa de auto-replicare”, explică experţii într-un comunicat de presă, transmis miercuri AGERPRES.

Potrivit sursei citate, acest malware, care se folosea de utilitare de răspândire, compilate cu datele specifice ale victimei, semăna foarte mult cu campaniile APT.

„În timp ce, la vremea respectivă, actorul din spatele atacurilor nu a fost identificat, cercetătorii Kaspersky au găsit o legătură între ransomware-ul VHD şi gruparea Lazarus, în urma analizei unui incident în care acesta a fost folosit alături de instrumentele cunoscute ale lui Lazarus împotriva unor companii din Franţa şi Asia. Între martie şi mai 2020, au fost întreprinse două investigaţii separate care au implicat ransomware-ul. În timp ce primul incident, care a avut loc în Europa, nu a oferit prea multe indicii cu privire la cine se afla în spatele său, tehnicile de răspândire similare celor utilizate de grupările APT au alimentat curiozitatea cercetătorilor. În plus, atacul nu s-a potrivit cu modul de operare obişnuit al grupărilor care atacau pe scară largă. De asemenea, faptul că a fost disponibil un număr foarte limitat de eşantioane de ransomware VHD – însoţite de foarte puţine referinţe publice – sugera că această familie de ransomware nu putea fi valorificată pe scară largă pe forumurile de pe piaţa neagră, cum s-ar fi întâmplat în mod normal”, se menţionează în analiza celor de la Kaspersky.

Pe parcursul investigaţiei de specialitate s-a mai descoperit că al doilea incident care a implicat ransomware-ul VHD a oferit o imagine completă asupra lanţului de infectare şi a permis cercetătorilor să facă legătura între ransomware şi gruparea Lazarus.

„Printre altele, şi cel mai important lucru, a fost acela că atacatorii au folosit un backdoor care făcea parte dintr-un framework multiplatformă, numit MATA, şi pe care cercetătorii Kaspersky l-au analizat în detaliu, ajungând la concluzia că este legat de Lazarus, acesta având numeroase similarităţi de cod şi de utilitate. Conexiunea stabilită a indicat faptul că Lazarus se afla în spatele campaniilor de ransomware VHD care fuseseră documentate până atunci. Aceasta este prima dată când s-a stabilit că gruparea Lazarus a recurs la atacuri ţintite pentru câştig financiar, operând exclusiv cu propriul ransomware, creat de ea, o practică atipică în ecosistemul de atacuri cibernetice”, notează specialiştii.

Ameninţarea de tip ransomware este un cod rău intenţionat care blochează sau criptează conţinutul unui dispozitiv (telefon mobil, computer, server, device Internet of Things – IoT etc.) şi solicită o răscumpărare pentru a restabili accesul la date.

Grupul Lazarus, cunoscut pentru operaţiunile sale complexe şi legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj şi sabotaj cibernetic, ci şi prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor şi a altor companii financiare de către grup.

Celebru pentru furtul a 81 de milioane de dolari din Banca Centrală din Bangladesh, în urmă cu patru ani, atacul Lazarus se prezintă ca un malware care a făcut „carieră” prin atacurile îndreptate către instituţii financiare, cazinouri, companii care operează cu criptomonede şi dezvoltatori de software pentru companii de investiţii.

Atacul de amploare al Lazarus a avut loc în luna februarie 2016, iar grupul necunoscut la acea vreme a încercat să sustragă de fapt 851 de milioane de dolari, însă în cele din urmă a trebuit să se mulţumească cu puţin peste 10% din total.

Kaspersky este o companie de securitate IT care oferă soluţii de securitate în domeniu, prin care protejează peste 400 de milioane de utilizatori individuali şi 270.000 de companii. 

Te-ar mai putea interesa și
Tribunalul obligă Administrația de Apă Dobrogea Litoral sa comunice studiile de ecotoxicitate pentru proiectul Neptun Deep
Tribunalul obligă Administrația de Apă Dobrogea Litoral sa comunice studiile de ecotoxicitate pentru proiectul Neptun ...
Tribunalul Bucureşti obligă Administraţia Bazinală de Apă Dobrogea Litoral şi Institutul Grigore Antipa să comunice studiile de ecotoxicitate care au stat la baza elaborării Raportului......
Autostrada A1, închisă din cauza rafalelor de vant care ajung la 120 km/h
Autostrada A1, închisă din cauza rafalelor de vant care ajung la 120 km/h
Autostrada A1 a fost închisă vineri dimineaţa, între Sibiu şi Boiţa, din cauza vântului puternic, a informat DRDP ...
Producția de mașini a României a urcat cu 19%, după primele zece luni din 2024, până la 466.838 de unități. Câte automobile au făcut Dacia şi Ford
Producția de mașini a României a urcat cu 19%, după primele zece luni din 2024, până la 466.838 de unități. Câte ...
Raportul ACAROM cu privire la producția de mașini a României arată că, în perioada ianuarie - octombrie 2024 au fost ...
MedLife va deschide complet un nou spital la Craiova cu 87 de paturi la începutul anului viitor
MedLife va deschide complet un nou spital la Craiova cu 87 de paturi la începutul anului viitor
MedLife a inaugurat, ieri, noului Spital MedLife Craiova, o investitie de aproape 6 milioane euro, Noul spital se intinde ...