Door Noord-Korea gesteunde hackers groep Lazarus zet actief VHD-ransomware in tegen bedrijven, volgens een rapport dat gisteren is gepubliceerd door Kaspersky-onderzoekers.

De onderzoekers vonden tussen maart en mei 2020 tijdens twee onderzoeken VHD-ransomware sporen.

"Functioneel gezien is VHD een vrij standaard ransomware-tool. Het sluipt door de schijven die op de computer van een slachtoffer zijn aangesloten, versleutelt bestanden en verwijdert alle mappen met systeemvolume-informatie (en saboteert daarmee pogingen tot systeemherstel in Windows)", luidt het rapport .

"Bovendien kan het processen onderbreken die mogelijk belangrijke bestanden tegen wijziging kunnen beschermen (zoals Microsoft Exchange of SQL Server)."

Structuur van het ransomware-ecosysteem

Links naar Noord-Koreaanse hackers

Bij het analyseren van de twee incidenten konden de onderzoekers van Kaspersky de hele besmettingsketen van VHD-ransomware vaststellen, te beginnen met de aanvallers die toegang kregen tot het netwerk van hun slachtoffers nadat ze met succes kwetsbare VPN-gateways hadden gehackt.

Vervolgens verhoogden ze hun privileges op de gecompromitteerde apparaten en installeerden ze een achterdeur, onderdeel van het multi-platform en modulaire MATA-malwareframework.

Kaspersky koppelde het MATA-framewerk aan de 'Lazarus-hackers' op basis van unieke bestandsnamen die worden gebruikt in versies van de Manuscrypt-trojan (ook bekend als  Volgmer ).

Toen de achterdeur eenmaal was geactiveerd, konden de aanvallers de controle over de Active Directory-server van hun slachtoffers overnemen, waardoor het mogelijk was om binnen 10 uur VHD-ransomware-payloads naar alle systemen op het netwerk te sturen met behulp van een op 'Python' gebaseerd programma.

VHD ransomware-aanvalsstroom ( Kaspersky )

Kaspersky schreef de VHD-ransomware toe aan de Lazarus Group op basis van de tools die werden gebruikt om de ransomware te gebruiken als onderdeel van de twee aanvallen en de laterale bewegingstactieken die ook bij eerdere Lazarus-inbraken werden waargenomen.

"De gegevens die we tot onze beschikking hebben, duiden er meestal op dat de VHD-ransomware geen commercieel kant-en-klaar product is; en voor zover we weten is de Lazarus-groep de enige eigenaar van het MATA-framework," zei Kaspersky . "Daarom concluderen we dat de VHD-ransomware ook eigendom is van en wordt beheerd door Lazarus."

Financieel gemotiveerde Noord-Koreaanse hackers

Lazarus Group (ook gevolgd als  Zinc  door Microsoft en  HIDDEN COBRA  door de United States Intelligence Community) gebruikte het MATA-malwareframework om de payloads van VHD-ransomware te compromitteren en te implementeren op de systemen van bedrijven uit verschillende branches.

Sommige van de Noord-Koreaanse hackers die onder de naam Lazarus worden gevolgd, staan ​​erom  bekend financieel gemotiveerd te zijn,  zoals blijkt uit hun eerdere campagnes - de hack van Sony Films in 2014 als onderdeel van  Operation Blockbuster  en de wereldwijde WannaCry-  ransomware-epidemie van 2017  .

Sinds 2007

Sinds 2007 hebben Lazarus-hackers aanvallen uitgevoerd op financiële organisaties uit een groot aantal landen, waaronder Zuid-Korea, Taiwan, India, Mexico, Pakistan, de Filippijnen, Turkije, Chili en Vietnam, evenals op verschillende cryptocurrency-diensten en doelen in de lucht- en ruimtevaart sector, techniek, overheid, media en technologie.

487 miljoen euro

Om een ​​licht te werpen op de omvang van de financiële verliezen, zeggen experts van de Veiligheidsraad van de Verenigde Naties (VN) dat de Noord-Koreanen achter cryptocurrency-overvallen stonden die leidden tot verliezen van 487 miljoen euro in 2017 en 2018, waarbij de Amerikaanse schatkist  sancties ondertekende tegen drie door de DVK gesponsorde  hack groepen (Lazarus, Andariel en Bluenoroff) in september 2019.

Twee Chinese staatsburgers werden later in maart 2020 beschuldigd van het witwassen van meer dan 85 miljoen euro aan cryptocurrency uit de ongeveer  213 miljoen euro die de Lazarus Group in 2018  alleen had gestolen als onderdeel van een enkele cryptocurrency exchange-hacken.

Een maand later publiceerde de Amerikaanse regering bewijs over hack activiteiten in Noord-Korea en bood een beloning van maximaal 4 miljoen euro  voor alle informatie over de cyberactiviteiten van Noord-Koreaanse  hackers, inclusief eerdere of lopende activiteiten als dit leidt tot de verstoring van illegale activiteiten in de DVK of de identificatie of locatie van Noord-Koreaanse acteurs.

Bron: securelist, bleepingcomputer