Μια επιχείρηση ransomware γνωστή ως Holy Ghost που στοχεύει μικρές επιχειρήσεις σε διάφορες χώρες, φαίνεται να συνδέεται με hackers από τη Βόρεια Κορέα.

Δείτε επίσης: Microsoft: Exploit μεγέθους tweet για σφάλμα στο sandbox macOS

Η ομάδα δραστηριοποιείται για αρκετό καιρό, αλλά δεν κατάφερε να κερδίσει τη φήμη και την οικονομική επιτυχία άλλων συμμοριών. Χρησιμοποιεί διπλό εκβιασμό σε συνδυασμό με έναν ιστότοπο διαρροής, για τη δημοσίευση των ονομάτων των θυμάτων και των κλεμμένων δεδομένων.

Ερευνητές στο Microsoft Threat Intelligence Center (MSTIC), παρακολουθούν τη συμμορία ransomware Holy Ghost ως DEV-0530. Σε μια αναφορά τους είπαν ότι το πρώτο ωφέλιμο φορτίο από αυτόν τον παράγοντα απειλής εμφανίστηκε πέρυσι τον Ιούνιο.

Ταξινομημένη ως SiennaPurple, η πρώιμη παραλλαγή ransomware Holy Ghost δεν είχε πολλές δυνατότητες σε σύγκριση με τις επόμενες εκδόσεις, που βασίζονται στο Go και εμφανίστηκαν τον Οκτώβριο του 2021.

Η Microsoft παρακολουθεί τις νεότερες παραλλαγές όπως το SiennaBlue (HolyRS.exe, HolyLocker.exe και BTLC.exe) και σημειώνει ότι η λειτουργικότητά τους επεκτάθηκε με την πάροδο του χρόνου για να συμπεριλάβει πολλαπλές επιλογές κρυπτογράφησης, συσκότιση συμβολοσειρών, διαχείριση δημόσιου κλειδιού και υποστήριξη Διαδικτύου/Intranet.

Οι ερευνητές λένε ότι η DEV-0530 κατάφερε να θέσει σε κίνδυνο πολλούς στόχους, κυρίως μικρές έως μεσαίες επιχειρήσεις. Ανάμεσα στα θύματα ήταν τράπεζες, σχολεία, κατασκευαστικοί οργανισμοί και εταιρείες σχεδιασμού εκδηλώσεων και συνεδριάσεων.

Δείτε ακόμα: Bandai Namco hacked: Υπεύθυνη η ransomware συμμορία BlackCat ;

Τα μέλη της συμμορίας Holy Ghost, ακολουθούν το πρότυπο μιας τυπικής επίθεσης ransomware, κλέβοντας δεδομένα πριν αναπτύξουν τη ρουτίνα κρυπτογράφησης σε μολυσμένα συστήματα.

Ο εισβολέας άφησε ένα σημείωμα λύτρων στο παραβιασμένο μηχάνημα και έστειλε επίσης email στο θύμα με έναν σύνδεσμο προς ένα δείγμα κλεμμένων δεδομένων για να ανακοινώσει ότι ήταν πρόθυμος να διαπραγματευτεί τα λύτρα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης.

Συνήθως, οι hackers απαιτούσαν μια μικρή πληρωμή μεταξύ 1,2 και 5 bitcoin

ή έως και περίπου 100.000 $ με την τρέχουσα συναλλαγματική ισοτιμία.

Ακόμα κι αν οι απαιτήσεις δεν ήταν μεγάλες, ο εισβολέας ήταν πρόθυμος να διαπραγματευτεί και μερικές φορές μείωνε την τιμή σε λιγότερο από το ένα τρίτο της αρχικής ζήτησης, λέει η MSTIC.

Αυτή η λεπτομέρεια, ο σπάνιος ρυθμός επιθέσεων και η τυχαία επιλογή των θυμάτων προσθέτουν στη θεωρία ότι η ομάδα ransomware Holy Ghost ενδέχεται να μην ελέγχεται από την κυβέρνηση της Βόρειας Κορέας.

Αντίθετα, οι hackers που εργάζονται για το καθεστώς της Πιονγκγιάνγκ μπορεί να το κάνουν αυτό μόνοι τους, για προσωπικό οικονομικό όφελος.

Ωστόσο, η σύνδεση με ομάδες hacking που υποστηρίζονται από το κράτος είναι παρούσα, καθώς η MSTIC βρήκε επικοινωνία μεταξύ λογαριασμών ηλεκτρονικού ταχυδρομείου που ανήκουν στη Holy Ghost και την Andariel, έναν παράγοντα απειλών που ανήκει στην Ομάδα Lazarus υπό το Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας.

Δείτε επίσης: Ransomware: Ποια νέα στρατηγική χρησιμοποιούν οι hackers για να πιέσουν τα θύματα;

Η σύνδεση μεταξύ των δύο ομάδων ενισχύεται από το γεγονός ότι και οι δύο «λειτουργούσαν από το ίδιο σύνολο υποδομών και ακόμη χρησιμοποιούσαν προσαρμοσμένους ελεγκτές κακόβουλου λογισμικού με παρόμοια ονόματα», λένε οι ερευνητές.

Η αναφορά της Microsoft περιλαμβάνει ένα σύνολο συνιστώμενων ενεργειών για την πρόληψη μολύνσεων από ωφέλιμα φορτία του Αγίου Πνεύματος, καθώς και ορισμένους δείκτες παραβίασης που ανακαλύφθηκαν κατά τη διερεύνηση του κακόβουλου λογισμικού.