Holy Ghost, daha az bilinen bir fidye yazılımı (yeni sekmede açılır) Microsoft, operatörün büyük olasılıkla Kuzey Koreli bilgisayar korsanları tarafından yönetildiğini söyledi.
Şirketin Tehdit İstihbarat Merkezi (MSTIC), kötü amaçlı yazılımı izliyor (yeni sekmede açılır) Bir yıldan fazla bir süredir varyant ve operasyonun arkasında Kuzey Korelilere işaret eden çok sayıda kanıt buldu.
Grup, ülke hükümetiyle bağlantılı gibi görünse de, maaş bordrosunda değil, bazen hükümetle işbirliği yapan finansal olarak motive olmuş bir grup gibi görünüyor.
tipik MO
MSTIC, grubun bir süredir faaliyet gösterdiğini, ancak BlackCat, REvil veya diğerleri gibi diğer büyük oyuncular kadar büyük veya popüler olamadıklarını söylüyor.
Aynı çalışma tarzına sahiptir: hedefin sistemlerinde bir kusur bulun (Microsoft, grubun CVE-2022-26352’yi kötüye kullandığını tespit etti), ağ üzerinde yanal olarak hareket edin, tüm uç noktaları haritalayın, hassas verileri sızdırın, fidye yazılımı dağıtın (daha önce grup SiennaPurple varyantını kullandı, daha sonra yükseltilmiş bir SiennaBlue sürümüne geçti) ve ardından şifre çözme anahtarı karşılığında fidye ödemesi talep etti ve verilerin karaborsada sızdırılmayacağına/satılmayacağına dair söz verdi.
Grup genellikle bankaları, okulları, üretim organizasyonlarını ve etkinlik yönetimi firmalarını hedef alır.
Ödemeye gelince, grup bugünün fiyatlarında yaklaşık 30.000 – 100.000 dolar olan 1.2 ila 5 bitcoin arasında herhangi bir yerde talep edecekti. Bununla birlikte, bu talepler diğer fidye yazılımı operatörlerine kıyasla nispeten küçük olsa da, Holy Ghost hala pazarlık etmeye ve fiyatı daha da düşürmeye istekliydi, bazen başlangıçta istediğinin sadece üçte birini aldı.
Saldırı sıklığı veya hedef seçimi gibi şeyler araştırmacılara Kutsal Ruh’un devlet destekli bir aktör olmadığını düşündürse de, hükümetle bazı bağlantıları var. Microsoft, grubun devlet destekli bilinen bir aktör olan Lazarus Group ile iletişim kurduğunu tespit etti. Dahası, her iki grup da “aynı altyapı kümesinden çalışıyor ve hatta benzer adlara sahip özel kötü amaçlı yazılım denetleyicileri kullanıyordu.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)