Un grupo de amenazas emergentes que se originó en Corea del Norte se ha relacionado con el desarrollo y el uso de ransomware en ataques cibernéticos dirigidos a pequeñas empresas desde septiembre de 2021.
El grupo, que se autodenomina H0lyGh0st por la carga útil de ransomware del mismo nombre, está siendo rastreado por Microsoft Threat Intelligence Center bajo el nombre DEV-0530, una designación asignada para un grupo desconocido, emergente o en desarrollo de actividad de amenazas.
Las entidades objetivo incluyen principalmente pequeñas y medianas empresas, como organizaciones de fabricación, bancos, escuelas y empresas de planificación de eventos y reuniones.
«Junto con su carga útil H0lyGh0st, DEV-0530 mantiene un sitio .onion que el grupo usa para interactuar con sus víctimas», dijeron los investigadores. dijo en un análisis del jueves.
«La metodología estándar del grupo es encriptar todos los archivos en el dispositivo de destino y usar la extensión de archivo .h0lyenc, enviar a la víctima una muestra de los archivos como prueba y luego exigir el pago en Bitcoin a cambio de restaurar el acceso a los archivos».
Las cantidades de rescate exigidas por DEV-0530 oscilan entre 1,2 y 5 bitcoins, aunque un análisis de la billetera de criptomonedas del atacante no muestra pagos de rescate exitosos de sus víctimas a principios de julio de 2022.
Se cree que DEV-0530 tiene conexiones con otro grupo norcoreano conocido como Plutonium (también conocido como DarkSeoul o Andariel), un subgrupo que opera bajo el paraguas de Lazarus (también conocido como Zinc o Hidden Cobra).
También se sabe que el esquema ilícito adoptado por el actor de amenazas toma una hoja del panorama del ransomware, aprovechando las tácticas de extorsión para presionar a las víctimas para que paguen o se arriesguen a que su información se publique en las redes sociales.
El portal web oscuro de DEV-0530 afirma que su objetivo es «cerrar la brecha entre ricos y pobres» y «ayudar a los pobres y hambrientos», en una táctica que refleja otra familia de ransomware llamada GoodWill que obliga a las víctimas a donar a causas sociales y proporcionar asistencia financiera a personas necesitadas.
Las migas de pan técnicas que vinculan al grupo con Andariel se derivan de las superposiciones en el conjunto de infraestructura, así como de las comunicaciones entre las cuentas de correo electrónico controladas por los dos colectivos atacantes, con actividad DEV-0530 observada constantemente durante la hora estándar de Corea (UTC+09:00). .
«A pesar de estas similitudes, las diferencias en el ritmo operativo, la orientación y el comercio sugieren que DEV-0530 y el plutonio son grupos distintos», señalaron los investigadores.
En una señal que sugiere un desarrollo activo, se produjeron cuatro variantes diferentes del ransomware H0lyGh0st entre junio de 2021 y mayo de 2022 para apuntar a los sistemas Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe y BLTC.exe.
Mientras que BTLC_C.exe (llamado SiennaPurple) está escrito en C++, las otras tres versiones (con nombre en código SiennaBlue) están programadas en Go, lo que sugiere un intento por parte del adversario de desarrollar malware multiplataforma.
Las cepas más nuevas también vienen con mejoras en su funcionalidad principal, incluida la ofuscación de cadenas y la capacidad de eliminar tareas programadas y eliminarse de las máquinas infectadas.
Se dice que las intrusiones se facilitaron a través de la explotación de vulnerabilidades sin parches en aplicaciones web públicas y sistemas de gestión de contenido (por ejemplo, CVE-2022-26352), aprovechando la compra para eliminar las cargas útiles de ransomware y filtrar datos confidenciales antes de cifrar el archivos
Los hallazgos llegan una semana después de que las agencias de inteligencia y ciberseguridad de EE. UU. advirtieran sobre el uso del ransomware Maui por parte de piratas informáticos respaldados por el gobierno de Corea del Norte para apuntar al sector de la salud desde al menos mayo de 2021.
La expansión de los atracos financieros al ransomware se considera una táctica más patrocinada por el gobierno de Corea del Norte para compensar las pérdidas por sanciones, desastres naturales y otros reveses económicos.
Pero dado el conjunto reducido de víctimas que normalmente se asocia con la actividad patrocinada por el estado contra las organizaciones de criptomonedas, Microsoft teorizó que los ataques podrían ser una actividad secundaria para los actores de amenazas involucrados.
«Es igualmente posible que el gobierno de Corea del Norte no esté permitiendo o apoyando estos ataques de ransomware», dijeron los investigadores. «Las personas con vínculos con la infraestructura y las herramientas de plutonio podrían trabajar como segundo empleo para beneficio personal. Esta teoría del segundo empleo podría explicar la selección a menudo aleatoria de víctimas a las que apunta DEV-0530».
La amenaza del ransomware evoluciona en un mundo posterior a Conti
El desarrollo también se produce a medida que el panorama del ransomware está evolucionando con grupos de ransomware nuevos y existentes, a saber, LockBit, Hive, Lilith, RedAlert (también conocido como N13V) y 0mega, incluso cuando la pandilla Conti cerró formalmente sus operaciones en respuesta a una fuga masiva de su chats internos.
Agregando combustible al fuego, el sucesor mejorado de LockBit también viene con un nuevo sitio de fuga de datos que permite a cualquier actor comprar datos robados de las víctimas, sin mencionar la incorporación de una función de búsqueda que facilita la aparición de información confidencial.
Otras familias de ransomware también han agregado capacidades similares en un intento de crear bases de datos de búsqueda de información robada durante los ataques. En esta lista se destacan PYSA, BlackCat (también conocido como ALPHV) y la rama de Conti conocida como Karakurt, según un informe de computadora pitido.
Basado en estadísticas recopiladas por Sombras digitales705 organizaciones fueron nombradas en sitios web de fuga de datos de ransomware en el segundo trimestre de 2022, lo que representa un aumento del 21,1 % desde el primer trimestre de 2022. Las principales familias de ransomware durante el período incluyeron LockBit, Conti, BlackCat, Black Basta y Vice Sociedad.