O analiză de incident realizată de Kaspersky în legătură cu două cazuri din Europa și Asia, a scos la iveală faptul că ransomware-ul VHD – apărut pentru prima dată public în primăvara anului 2020 – este deținut și operat de către Lazarus, o importantă grupare APT din Coreea de Nord. Decizia Lazarus de a crea și distribui ransomware indică o schimbare de strategie și, totodată, faptul că sunt pregătiți să treacă la o mare vânătoare de bani, un lucru neobișnuit pentru grupările APT sponsorizate de stat.
În martie și aprilie 2020, mai multe organizații de securitate cibernetică, inclusiv Kaspersky, au raportat despre ransomware-ul VHD – un program periculos, destinat extorsiunii banilor de la victime, care s-a remarcat prin metoda sa de auto-replicare. Acest malware, care se folosea de utilitare de răspândire, compilate cu datele specifice ale victimei, semăna foarte mult cu campaniile APT. În timp ce, la vremea respectivă, actorul din spatele atacurilor nu a fost identificat, cercetătorii Kaspersky au găsit o legătură între ransomware-ul VHD și gruparea Lazarus, în urma analizei unui incident în care acesta a fost folosit alături de instrumentele cunoscute ale lui Lazarus împotriva unor companii din Franța și Asia.
Între martie și mai 2020 au fost întreprinse două investigații separate care au implicat ransomware-ul. În timp ce primul incident, care a avut loc în Europa, nu a oferit prea multe indicii cu privire la cine se afla în spatele său, tehnicile de răspândire similare celor utilizate de grupările APT au alimentat curiozitatea cercetătorilor. În plus, atacul nu s-a potrivit cu modul de operare obișnuit al grupărilor care atacau pe scară largă. De asemenea, faptul că a fost disponibil un număr foarte limitat de eșantioane de ransomware VHD – însoțite de foarte puține referințe publice – sugera că această familie de ransomware nu putea fi valorificată pe scară largă, pe forumurile de pe piața neagră, cum s-ar fi întâmplat în mod normal.
Al doilea incident care a implicat ransomware-ul VHD a oferit o imagine completă asupra lanțului de infectare și a permis cercetătorilor să facă legătura între ransomware și gruparea Lazarus. Printre altele, și cel mai important lucru a fost acela că atacatorii au folosit un backdoor care făcea parte dintr-un framework multiplatformă, numit MATA, și pe care cercetătorii Kaspersky l-au analizat în detaliu, ajungând la concluzia că este legat de Lazarus, acesta având numeroase similarități de cod și de utilitate.
Conexiunea stabilită a indicat faptul că Lazarus se afla în spatele campaniilor de ransomware VHD care fuseseră documentate până atunci. Aceasta este prima dată când s-a stabilit că gruparea Lazarus a recurs la atacuri tințite pentru câștig financiar, operând exclusiv cu propriul ransomware, creat de ea, o practică atipică în ecosistemul de atacuri cibernetice.
“Știam că Lazarus a fost dintotdeauna axat pe câștigul financiar. Cu toate acestea, de la incidentul WannaCry, nu mai văzusem niciun atac de ransomware similar. Deși este evident că gruparea nu se ridică la nivelul de eficiență al altor atacatori cibernetici cu această abordare hit-and-run a ransomware-ului țintit, faptul că s-a îndreptat către astfel de tipuri de atac este un semnal îngrijorător. Amenințarea globală de ransomware este și așa destul de mare, având adesea implicații financiare semnificative pentru organizațiile victime, până în punctul în care multe dintre ele dau faliment. Întrebarea pe care ar trebui să ne-o punem este, însă, dacă aceste atacuri sunt un experiment izolat, sau fac parte dintr-o nouă tendință și, în consecință, dacă companiile private nu cumva ar trebui să se îngrijoreze că ar putea deveni victime ale unor atacatori cibernetici sponsorizați de stat”, spune Ivan Kwiatkowski, senior security researcher la Kaspersky’s GReAT. “Indiferent de variantă, organizațiile ar trebui să acorde acum, mai mult ca niciodată, o importanță sporită protecției datelor – crearea de back-up-uri izolate cu datele esențiale ale companiei, cât și investiția în metode reactive de protecție, sunt măsuri obligatorii”.
Pentru a ajuta companiile să rămână în siguranță față de pericolele ransomware, Kaspersky recomandă:
• Reduceți șansele ca ransomware-ul să pătrundă în companie prin phishing și neglijență: explicați-le angajaților modul în care respectarea unor reguli simple poate ajuta o companie să evite incidentele de ransomware. Pot fi de ajutor și cursurile de pregătire dedicate, cum ar fi cele furnizate de Kaspersky Automated Security Awareness Platform.
• Asigurați-vă că toate softurile, aplicațiile și sistemele sunt permanent actualizate. Utilizați o soluție de securitate fiabilă, cu funcții de gestionare a patch-urilor, pentru a identifica posibilele vulnerabilități din rețeaua companiei.
• Efectuați un audit de securitate cibernetică al rețelei și remediați toate vulnerabilitățile descoperite în perimetrul sau în interiorul rețelei.
• Asigurați-vă că protecția adecvată este activată pentru toate serverele și endpoint-urile, folosind o soluție de securitate precum Kaspersky Integrated Endpoint Security. Aceasta combină securitatea endpoint cu funcțiile sandbox și EDR, permițând atât o protecție eficientă chiar și față de noile tipuri de ransomware, cât și o vizibilitate sporită împotriva amenințărilor detectate în endpoint-urile de corporație.
• Oferiți echipei de securitate acces la cele mai recente informații despre amenințările cibernetice, pentru a fi la curent cu ultimele instrumente și tactici utilizate de către atacatori.
• Ransomware-ul este o infracțiune. Dacă deveniți victimă, nu plătiți niciodată răscumpărarea. În schimb, raportați incidentul organizației locale de aplicare a legii. Între timp, încercați să găsiți un decriptor pe internet – veți găsi unele disponibile pe https://www.nomoreransom.org/en/index.html.
Aflați mai multe detalii despre incidentele descrise care implică ransomware-ul VHD, pe Securelist.com.