Північнокорейські хакери Kaspersky стоять за вимогами VHD

Виробник антивірусів "Касперський" у вівторок опублікував звіт, в якому йдеться про те, що хакери, пов'язані з режимом Північної Кореї, стоять за новою лінією вимагальних програм, відомою як VHD.

вимогами

У звіті детально описуються два інциденти, про які Касперському повідомили, коли зловмисники отримали доступ до корпоративних мереж та розгорнули вимога-програму VHD.

Експерти Касперського заявляють, що інструменти та методи, використані у двох вторгненнях, пов'язують зловмисників з групою "Лазарус" - загальне ім'я, яке дають хакерам, що працюють за режим Пхеньяна.

Розгорнуті інструменти

Інструменти та методи, про які йдеться, включають використання:

  • фреймворк шкідливого програмного забезпечення MATA (Dacls) для розгортання VHD як остаточного корисного навантаження;
  • прийоми пересування через внутрішню мережу жертви, які раніше спостерігалися в кампаніях, приписуваних Лазареві.

“Дані, доступні нам, як правило, вказують на те, що програма-вимога VHD не є стандартною програмою-вимагателем. І наскільки нам відомо, Lazarus Group є єдиним власником фреймворку MATA. Отже, ми робимо висновок, що програма-вимагатель VHD також належить і експлуатується Lazarus ”, - кажуть дослідники Касперського.

Послідовний висновок

Те, що тут виявив Касперський, схоже на інші звіти, опубліковані щодо хакерської екосистеми Північної Кореї.

На основі попередніх звітів, опублікованих за останні чотири роки, північнокорейські хакери в основному поділяються на дві категорії: ті, хто займається кібершпигунством з метою розвідки, і ті, хто займається фінансовою злочинністю, націленою на збір коштів для уряду Пхеньяна. За даними Міністерства фінансів США, ці кошти використовуються для підтримки збройних і ракетних програм країни.

Атаки VHD - це, без сумніву, робота другої групи, яка прагне вимагати гроші від зламаних організацій.

Інші заходи

Група бере участь у інших заходах збору коштів, таких як злом банків, викрадення валют з бірж криптовалют, організація атак джекпотінгу на банкомати, виконання бот-мереж, що здійснюють криптовалюту, і навіть участь у атаках веб-скіммінгу (Magecart), щоб викрасти банківські дані та перепродати їх.

Також відомо, що хакери Lazarus проникають у корпоративні мережі, викрадають дані, а потім вимагають викуп від жертв за те, що вони не розміщують свої дані в мережі.

Бачити, як північнокорейські хакери беруть участь у атаках з вимогами, не дивно, оскільки атаки з вимогами є одними з найвигідніших операцій з кіберзлочинністю сьогодні.

WannaCry та VHD

Західні спецслужби звинуватили Північну Корею у створенні та втраті контролю над програмою-вимагателем WannaCry, яка у травні 2017 року поширилася по всьому світу.

Різниця між VHD та WannaCry полягає в тому, що VHD краще кодується, і оператори Lazarus, здається, розгортають його лише помірковано.

Група в основному націлена на гучні корпоративні мережі, щоб вимагати величезних викупів для дешифрування даних. Ця тактика відома сьогодні під назвою "полювання на велику дичину" ("полювання на велику дичину", примітка редактора).