Notícias de dispositivos móveis, gadgets, aplicativos Android

Grupos de hackers Lazarus por trás dos ataques direcionados de ransomware VHD

O grupo de hackers Lazarus é conhecido por seu ataque à Sony Pictures em 2014, o grupo tem motivação financeira e está ativo desde 2009.

O Grupo Lazarus que se acredita ser operado pelo governo norte-coreano, o grupo é designado como uma ameaça persistente avançada devido à natureza pretendida, à ameaça e a uma ampla gama de métodos.

A partir do ano de 2020, os ataques de ransomware direcionados estão aumentando, e os pesquisadores descobriram a recente cepa de ransomware, chamada VHD, associada a uma fonte desconhecida.

Táticas APT com ataques de ransomware VHD

Os pesquisadores observaram uma nova campanha de ransomware que usa técnicas de propagação de grupos APT implantadas apenas em um número limitado de casos.

Os invasores usam métodos nas costas para espalhar a infecção na rede da vítima e, uma vez que entendem as finanças e as estruturas de TI do alvo, processam a criptografia.

Pesquisadores da Kaspersky observado um incidente na Europa que apresenta a nova família de ransomware VHD e usa técnica de propagação de grupo APT distribuída escrita em C++.

O ransomware não tem nada de especial, como outros ransomware, ele “rastreia todos os discos conectados para criptografar arquivos e excluir qualquer pasta chamada System Volume Information. Além disso, bloqueia o bloqueio do processo de arquivos importantes.”

Os arquivos são criptografados na combinação de AES-256 no modo BCE e RSA-2048 e também inclui um mecanismo para retomar o ransomware se estiver interessado.

O ransomware também inclui um utilitário de propagação que propaga o ransomware dentro da rede. O utilitário de propagação contém uma lista de credenciais de administrador usadas para forçar o serviço SMB de força bruta em todas as máquinas.

Nós recomendamos:  Destino 2 Lightfall: jogabilidade, história, recursos e muito mais

“Sempre que uma conexão bem-sucedida era estabelecida, um compartilhamento de rede era montado e o ransomware VHD era copiado e executado por meio de chamadas WMI. Isto se destacou para nós como uma técnica incomum para grupos de crimes cibernéticos; em vez disso, lembrou-nos das campanhas APT Sony SPE, Shamoon e OlympicDestroyer, três limpadores anteriores com capacidades de desparasitação.”

Os pesquisadores sentiram que o ataque “não se enquadrava no modus operandi usual de grupos conhecidos de caça de grande porte, também foram encontradas amostras públicas limitadas”.

Em outro incidente, os invasores exploram um gateway VPN vulnerável que permite aos invasores o acesso administrativo e implantam um backdoor para assumir o controle do servidor Active Directory e implantar o ransomware.

“Os dados que temos à nossa disposição tendem a indicar que o ransomware VHD não é um produto comercial pronto para uso; e até onde sabemos, o grupo Lazarus é o único proprietário da estrutura MATA.”

COI

SHA-256

6D12547772B57A6DA2B25D2188451983
D0806C9D8BCEA0BD47D80FA004744D7D
DD00A8610BB84B54E99AE8099DB1FC20
CCC6026ACF7EADADA9ADACCAB70CA4D6
EFD4A87E7C5DCBB64B7313A13B4B1012

Os ataques de ransomware agora se tornam uma forma fácil e maliciosa de roubar indivíduos e empresas e podem custar bilhões de dólares, sem mencionar as implicações de privacidade e segurança.

Você pode nos seguir em Linkedin, Twitter, Facelivro para segurança cibernética diária e atualizações de notícias sobre hackers.

Table of Contents