Η διαβόητη ομάδα Lazarus λειτουργεί πλέον με δικό της ransomware
Η ανάλυση περιστατικών από την Kaspersky για δύο περιπτώσεις στην Ευρώπη και την Ασία αποκάλυψε ότι το VHD ransomware – που συζητήθηκε για πρώτη φορά δημόσια την άνοιξη του 2020 – ανήκει και λειτουργείται από την ομάδα Lazarus, μια εξέχουσα ομάδα APT της Βόρειας Κορέας.
Η κίνηση της Lazarus, για τη δημιουργία και τη διανομή ransomware, σηματοδοτεί μια αλλαγή στρατηγικής και υποδεικνύει την ετοιμότητα να εισέλθει στο μεγάλο κυνήγι του οικονομικού κέρδους, το οποίο είναι εξαιρετικά ασυνήθιστο μεταξύ
Τον Μάρτιο και τον Απρίλιο του 2020, μερικοί οργανισμοί ψηφιακής ασφάλειας, συμπεριλαμβανομένης της Kaspersky, ανέφεραν το VHD ransomware – ένα κακόβουλο πρόγραμμα που έχει σχεδιαστεί για να αποσπάσει χρήματα από τα θύματά του, το οποίο ξεχώρισε λόγω της μεθόδου αυτοδιπλασιασμού που χρησιμοποιεί. Η χρήση από αυτό το κακόβουλο λογισμικό ενός βοηθητικού προγράμματος εξάπλωσης που έχει συσταθεί από στοιχεία σύνδεσης συγκεκριμένων θυμάτων θυμίζει εκστρατείες APT. Ενώ, τότε, ο φορέας πίσω από τις επιθέσεις δεν είχε καθοριστεί, οι ερευνητές της Kaspersky συνέδεσαν το VHD ransomware με τη Lazarus με μεγάλη σιγουριά μετά από ανάλυση ενός συμβάντος στο οποίο χρησιμοποιήθηκε σε στενή συσχέτιση με γνωστά εργαλεία της Lazarus εναντίον επιχειρήσεων στη Γαλλία και την Ασία.
Πραγματοποιήθηκαν δύο ξεχωριστές έρευνες που αφορούσαν το VHD ransomware μεταξύ Μαρτίου και Μαΐου 2020. Ενώ το πρώτο περιστατικό, το οποίο συνέβη στην Ευρώπη, δεν έδωσε πολλές ενδείξεις για το ποιος ήταν πίσω από αυτό, οι τεχνικές διάδοσης παρόμοιες με αυτές που χρησιμοποιούν οι ομάδες APT κράτησαν ενεργό το ενδιαφέρον της ερευνητικής ομάδας. Επιπλέον, η επίθεση δεν ταιριάζει με το συνηθισμένο modus operandiγνωστών αντίστοιχων ομάδων. Επίσης, το γεγονός ότι ήταν διαθέσιμος ένας πολύ περιορισμένος αριθμός δειγμάτων VHD ransomware – σε συνδυασμό με πολύ λίγες δημόσιες αναφορές – έδειξε ότι αυτή η οικογένειαransomware ενδέχεται να μην ανταλλάσσεται ευρέως σε φόρουμ σκοτεινών αγορών, όπως συμβαίνει συνήθως.
Το δεύτερο περιστατικό που αφορούσε το VHD ransomware παρείχε μια πλήρη εικόνα της αλυσίδας «μόλυνσης» και επέτρεψε στους ερευνητές να συνδέσουν το ransomware με την ομάδα Lazarus. Μεταξύ άλλων –και το πιο σημαντικό– οι επιτιθέμενοι χρησιμοποίησαν ένα backdoor, το οποίο ήταν μέρος ενός πλαισίου πολλαπλών πλατφορμών που ονομάζεται MATA, το οποίο ανέφερε πρόσφατα η Kaspersky και συνδέεται με τον προαναφερθέντα παράγοντα απειλής λόγω ορισμένων ομοιοτήτων στον κώδικα και στην αξιοποίηση.
Η εδραιωμένη σύνδεση έδειξε ότι η Lazarus ήταν πίσω από τις εκστρατείες VHD ransomware που έχουν τεκμηριωθεί μέχρι στιγμής. Είναι επίσης η πρώτη φορά που διαπιστώνεται ότι η ομάδα Lazarus κατέφυγε σε στοχευμένες επιθέσεις ransomware για οικονομικό κέρδος, έχοντας δημιουργήσει και εκμεταλλευτεί αποκλειστικά το δικό της ransomware, το οποίο δεν είναι τυπικό στο οικοσύστημα του ψηφιακού εγκλήματος.
«Γνωρίζαμε ότι η Lazarus ήταν πάντα επικεντρωμένη στο οικονομικό κέρδος, ωστόσο, από την εποχή WannaCryδεν είχαμε δει καμία σχέση με ransomware. Παρόλο που είναι προφανές ότι η ομάδα δεν μπορεί να ταιριάξει με την αποτελεσματικότητα άλλων ψηφιακών συμμοριών με αυτήν την hit-and-run προσέγγιση του στοχευμένου ransomware, είναι ανησυχητικό το γεγονός ότι έχει στραφεί σε τέτοιου είδους επιθέσεις. Η παγκόσμια απειλή ransomware είναι αρκετά μεγάλη ως έχει, και, συχνά, έχει σημαντικές οικονομικές επιπτώσεις για τους οργανισμούς – θύματα μέχρι το σημείο να τους οδηγήσει σε πτώχευση. Αυτό για το οποίο πρέπει να αναρωτηθούμε είναι αν αυτές οι επιθέσεις είναι ένα μεμονωμένο πείραμα ή μέρος μιας νέας τάσης και, κατά συνέπεια, εάν οι ιδιωτικές εταιρείες πρέπει να ανησυχούν μήπως πέσουν θύματα κρατικά χρηματοδοτούμενων απειλητικών φορέων», σχολιάζει ο Ivan Kwiatkowski, ανώτερος ερευνητής ασφαλείας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky. «Ανεξάρτητα, οι οργανισμοί πρέπει να θυμούνται ότι η προστασία των δεδομένων παραμένει πιο σημαντική παρά ποτέ – η δημιουργία μεμονωμένων αντιγράφων ασφάλειας βασικών δεδομένων και η επένδυση σε αντιδραστικές άμυνες είναι απολύτως απαραίτητα».
Για να βοηθήσουν τις επιχειρήσεις να παραμείνουν προστατευμένες από ransomware, οι ειδικοί προτείνουν επίσης τα ακόλουθα βήματα:
Μειώστε την πιθανότητα να πέσετε θύματα ransomware είτε μέσω phishing είτε από αμέλεια: εξηγήστε στους υπαλλήλους πώς η συμμόρφωση με απλούς κανόνες μπορεί να βοηθήσει μια εταιρεία να αποφύγει περιστατικά ransomware. Τα ειδικά μαθήματα κατάρτισης μπορούν να βοηθήσουν, όπως αυτά που παρέχονται στην πλατφόρμα Kaspersky Automated Security Awareness Platform.
Βεβαιωθείτε ότι όλα τα λογισμικά, οι εφαρμογές και τα συστήματα είναι πάντα ενημερωμένα. Χρησιμοποιήστε μια λύση προστασίας με λειτουργίες διαχείρισης ευπαθειών και ενημερώσεων κώδικα, για να προσδιορίσετε τις ευπάθειες που δεν έχουν ακόμη επιδιορθωθεί στο δίκτυό σας.
Πραγματοποιήστε έλεγχο ψηφιακής ασφάλειας των δικτύων σας και αποκαταστήστε τυχόν αδυναμίες που εντοπίστηκαν στην περίμετρο ή στο εσωτερικό του δικτύου.
Βεβαιωθείτε ότι υπάρχει η σωστή προστασία για όλα τα τερματικά σημεία και τους servers, υιοθετώντας μια λύση όπως το Integrated Endpoint Security της Kaspersky. Αυτό συνδυάζει την ασφάλεια του τερματικού σημείου με το sandbox και τη λειτουργία EDR που επιτρέπει αποτελεσματική προστασία ακόμη και από νέους τύπους ransomware και άμεση ορατότητα έναντι των απειλών που εντοπίζονται σε εταιρικά τερματικά σημεία.
Παρέχετε στην ομάδα ασφαλείας σας πρόσβαση στην πιο πρόσφατη πληροφόρηση για απειλές ώστε να τη διατηρείτε ενημερωμένη με νέα και αναδυόμενα εργαλεία, τεχνικές και τακτικές που χρησιμοποιούνται από απειλητικούς φορείς και ψηφιακούς εγκληματίες.
Το ransomware είναι ποινικό αδίκημα. Εάν πέσετε θύμα, μην πληρώσετε ποτέ λύτρα. Αντ’ αυτού, αναφέρετε το περιστατικό στις τοπικές διωκτικές αρχές. Προσπαθήστε να βρείτε ένα decryptor στο Διαδίκτυο – θα βρείτε μερικά διαθέσιμα στο https://www.nomoreransom.org/en/index.html.
Περισσότερες πληροφορίες μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist.com.
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Ημερομηνία κυκλοφορίας απέκτησε το Shing! (trailer)
- Διαθέσιμο το Maid of Sker (trailer)
- CoD Modern Warfare: Νέα μυστηριώδης παράταξη μισθοφόρων
- Info Quest Technologies: To Mi 10 Lite και το Mi Smart Band 5 της Xiaomi άμεσα διαθέσιμα
- Δύο νέα realme smartphone
- Cinehub - Η νέα καλύτερη εφαρμογή για δείτε και να κατεβάσετε δωρεάν όλες τις ταινίες και σειρές με ελληνικούς υπότιτλους
- Η διαβόητη ομάδα Lazarus λειτουργεί πλέον με δικό της ransomware
- Δημοφιλέστερες Ειδήσεις TechPress
- Τελευταία Νέα TechPress
- Η διαβόητη ομάδα Lazarus λειτουργεί πλέον με δικό της ransomware
- Info Quest Technologies: To Mi 10 Lite και το Mi Smart Band 5 της Xiaomi άμεσα διαθέσιμα
- Βραβεία Βιβλίου Public 2020: Η ανακοίνωση των μεγάλων νικητών!
- Το Vodafone Business μειοδότης τεσσάρων εκτελεστικών συμβάσεων του έργου ΣΥΖΕΥΞΙΣ ΙΙ
- CAT S42: Πλύντε το με σαπούνι!
- Liknoss: Στόχος η γρήγορη επέκταση στις διεθνείς αγορές
- Επέκταση του Εθνικού Δικτύου Τηλεϊατρικής από τον Όμιλο OTE και την Intracom Telecom
- Η LG ‘ζωντανεύει’ μεγάλες αθλητικές στιγμές και την εμπειρία gaming στο σπίτι
- Sony: Νέα κάρτα μνήμης CFexpress_τύπου-Α
- Η Wind καλύπτει με δωρεάν υπηρεσίες επικοινωνίας την εφαρμογή Covid-19 του Ε.Ο.Δ.Υ.
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Δύο νέα realme smartphone
- Ημερομηνία κυκλοφορίας απέκτησε το Shing! (trailer)
- Διαθέσιμο το Maid of Sker (trailer)
- CoD Modern Warfare: Νέα μυστηριώδης παράταξη μισθοφόρων
- Το φθινόπωρο έρχεται σε PC το Disgaea 4 Complete+ (trailer)
- Cinehub - Η νέα καλύτερη εφαρμογή για δείτε και να κατεβάσετε δωρεάν όλες τις ταινίες και σειρές με ελληνικούς υπότιτλους
- Ημερομηνία κυκλοφορίας απέκτησε το Hyper Scape (trailer)
- Pre-Season event από το FIFA 20 με δώρα για το FIFA 21
- Ημερομηνία κυκλοφορίας για το Peaky Blinders: Mastermind (trailer)
- Splinter Cell: O Sam Fisher στην μικρή οθόνη