Microsoft связывает работу программы-вымогателя Holy Ghost с северокорейскими хакерами

Microsoft связывает работу программы-вымогателя Holy Ghost с северокорейскими хакерами

15 июля 2022 г.

Holy Ghost, менее известный оператор программы-вымогателя, скорее всего, Microsoft сообщила, что управляется северокорейскими хакерами.

Центр анализа угроз компании (MSTIC) отслеживает вредоносного ПО уже более года, и обнаружил множество доказательств, указывающих на то, что за этой операцией стоят северокорейцы.

Хотя группа, похоже, связана с правительства страны, создается впечатление, что оно не получает зарплату, а представляет собой финансово мотивированную группу, которая иногда сотрудничает с правительством.

Типичный МО

MSTIC говорит, что группа существует уже довольно давно, но не смогла стать такой же крупной или популярной, как другие крупные игроки, такие как BlackCat, REvil и другие.

 У нее тот же принцип. Операции: найти уязвимость в системах цели (Microsoft заметила группу, злоупотребляющую CVE-2022-26352), перемещаться по сети, сопоставляя все конечные точки, эксфильтровать конфиденциальные данные, развертывать программу-вымогатель (ранее группа использовала вариант SiennaPurple, позже переключились на обновленную версию SiennaBlue), а затем требуют выкуп в обмен на ключ дешифрования и обещание, что данные не будут проданы/утекли на черном рынке.

Группа обычно нацеливалась банки, школы, производственные организации и фирмы по организации мероприятий.

Подробнее

> Хакеры Lazarus используют вредоносные криптовалютные приложения, ФБР предупреждает

> ФБР утверждает, что северокорейская группировка Lazarus стояла за крупной кражей криптовалют

> Это лучшие Услуги защиты от кражи ID сегодня

Что касается оплаты, группа потребует от 1,2 до 5 биткойнов, что составляет примерно от 30 000 до 100 000 долларов США по сегодняшним ценам. Однако, несмотря на то, что эти требования относительно невелики по сравнению с другими операторами программ-вымогателей, Holy Ghost по-прежнему был готов вести переговоры и еще больше снижать цену, иногда получая лишь треть того, что изначально запрашивал.

Несмотря на то, что такие вещи, как частота атак или выбор цели, заставили исследователей думать, что Holy Ghost не спонсируется государством, есть некоторые связи с правительством. Microsoft обнаружила, что группа общается с Lazarus Group, которая является известным деятелем, спонсируемым государством. Более того, обе группы «действовали с одной и той же инфраструктурой и даже использовали собственные контроллеры вредоносных программ с похожими именами».

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE