Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Новая группа H0lyGh0st: связь с Lazarus и Корейскими государственными хакерами

18/07/22

Уже более года северокорейские хакеры проводят вымогательскую кампанию H0lyGh0st, атакуя малый бизнес в разных странах. Исследователи Microsoft Threat Intelligence Center (MSTIC) отслеживают группировку H0lyGh0st как DEV-0530. Согласно отчету, первая атака группы была замечена в июне 2021 года.

В октябре 2021 Microsoft обнаружила новые варианты программы под названием SiennaBlue (HolyRS.exe, HolyLocker.exe и BTLC.exe) и отметила, что функции программы включают несколько вариантов шифрования, обфускацию строк, управление открытыми ключами и поддержку Интернета/Интранета. Об этом сообщает Securitylab.

DEV-0530 атаковали несколько целей, в основном малый и средний бизнес. Среди жертв были банки, школы, производственные организации и компании по планированию мероприятий и встреч.

«MSTIC подозревает, что группа DEV-0530 могла использовать уязвимость CVE-2022-26352 (RCE-уязвимость в dotCMS) в общедоступных веб-приложениях и CMS, чтобы получить первоначальный доступ к целевым сетям», — заявила Microsoft Threat Intelligence Center.

 

Участники H0lyGh0st следовали стандартной схеме вымогательской атаки и похищали данные до того, как зашифруют их. Злоумышленник оставлял записку с требованием выкупа на взломанной машине, а также отправлял жертве по электронной почте ссылку на образец украденных данных, чтобы объявить, что он готов договориться о выкупе в обмен на ключ дешифрования.

content-img(205)

Обычно группа требовала небольшой выкуп от 1,2 до 5 BTC или до $100 000. По словам MSTIC, даже если сумма выкупа была небольшой, злоумышленник был готов вести переговоры и иногда снижал цену до менее 30%.

Редкость атак и случайный выбор жертв дополняют предположения экспертов о том, что H0lyGh0st не следует интересам правительства Северной Кореи. Возможно, хакеры работают на режим Пхеньяна по собственной инициативе для личной финансовой выгоды. Однако, связь H0lyGh0st с правительственными хакерами всё-таки присутствует, поскольку MSTIC обнаружил связь между учетными записями электронной почты, принадлежащими H0lyGh0st и Andariel, участнику известной северокорейской группировки Lazarus .

Обе группы «действовали с одной и той же инфраструктурой и даже использовали специальные контроллеры вредоносных программ с похожими именами», — сказали исследователи.

Веб-сайт H0lyGh0st в данный момент недоступен, но группа пользуется малой известностью и выдает себя за законную ИБ-компанию, пытаясь помочь жертвам повысить уровень безопасности. Кроме того, они мотивируют свои действия стремлением «сократить разрыв между богатыми и бедными» и «помочь бедным и голодающим».

content-img(206)

Как и другие вымогатели, H0lyGh0st заверяет жертв, что они не будут продавать или раскрывать украденные данные при уплате выкупа. Отчет Microsoft также содержит рекомендации для предотвращения атаки H0lyGh0st и некоторые индикаторы компрометации, обнаруженные при исследовании вредоносного ПО.

Темы:MicrosoftПреступленияКНДРВымогатели
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...