Ransomware, amenințare globală. Atacuri cibernetice sponsorizate de stat
Reading Time: 2 minuteÎn martie și aprilie 2020, mai multe organizații de securitate cibernetică au raportat despre ransomware-ul VHD – un program periculos, destinat extorsiunii banilor de la victime, care s-a remarcat prin metoda sa de auto-replicare. În timp ce, la vremea respectivă, actorul din spatele atacurilor nu a fost identificat, specialiștii Kaspersky au găsit o legătură între ransomware-ul VHD și gruparea Lazarus (o importantă grupare APT din Coreea de Nord)., în urma analizei unui incident în care acesta a fost folosit alături de instrumentele cunoscute ale lui Lazarus împotriva unor companii din Franța și Asia.
Între martie și mai 2020 au fost întreprinse două investigații separate care au implicat ransomware-ul. În timp ce primul incident, care a avut loc în Europa, nu a oferit prea multe indicii cu privire la cine se afla în spatele său, tehnicile de răspândire similare celor utilizate de grupările APT (Advanced Persistent Threats) au alimentat curiozitatea cercetătorilor. În plus, atacul nu s-a potrivit cu modul de operare obișnuit al grupărilor care atacau pe scară largă. De asemenea, faptul că a fost disponibil un număr foarte limitat de eșantioane de ransomware VHD – însoțite de foarte puține referințe publice – sugera că această familie de ransomware nu putea fi valorificată pe scară largă, pe forumurile de pe piața neagră, cum s-ar fi întâmplat în mod normal.
“Știam că Lazarus a fost dintotdeauna axat pe câștigul financiar. Cu toate acestea, de la incidentul WannaCry, nu mai văzusem niciun atac de ransomware similar. Deși este evident că gruparea nu se ridică la nivelul de eficiență al altor atacatori cibernetici cu această abordare hit-and-run a ransomware-ului țintit, faptul că s-a îndreptat către astfel de tipuri de atac este un semnal îngrijorător. Amenințarea globală de ransomware este și așa destul de mare, având adesea implicații financiare semnificative pentru organizațiile victime, până în punctul în care multe dintre ele dau faliment. Întrebarea pe care ar trebui să ne-o punem este, însă, dacă aceste atacuri sunt un experiment izolat, sau fac parte dintr-o nouă tendință și, în consecință, dacă companiile private nu cumva ar trebui să se îngrijoreze că ar putea deveni victime ale unor atacatori cibernetici sponsorizați de stat”, spune Ivan Kwiatkowski, senior security
researcher la Kaspersky’s GReAT.
Gruparea Lazarus
Al doilea incident care a implicat ransomware-ul VHD a oferit o imagine completă asupra lanțului de infectare și a permis cercetătorilor să facă legătura între ransomware și gruparea Lazarus. Printre altele, și cel mai important lucru a fost acela că atacatorii au folosit un backdoor care făcea parte dintr-un framework multiplatformă, numit MATA, și pe care cercetătorii Kaspersky l-au analizat în detaliu, ajungând la concluzia că este legat de Lazarus, acesta având numeroase similarități de cod și de utilitate.
Conexiunea stabilită a indicat faptul că Lazarus se afla în spatele campaniilor de ransomware VHD care fuseseră documentate până atunci. Aceasta este prima dată când s-a stabilit că gruparea Lazarus a recurs la atacuri tințite pentru câștig financiar, operând exclusiv cu propriul ransomware, creat de ea, o practică atipică în ecosistemul de atacuri cibernetice.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz
