Microsoft powiedział, że Holy Ghost, mniej znany operator ransomware (otwiera się w nowej karcie), jest prawdopodobnie prowadzony przez hakerów z Korei Północnej.
Centrum analizy zagrożeń (MSTIC) tej firmy od ponad roku śledzi wariant złośliwego oprogramowania (otwiera się w nowej karcie) i znalazło wiele dowodów na to, że za operacją stoją Korea Północna.
Chociaż wydaje się, że grupa ta jest powiązana z rządem kraju, wydaje się, że nie są oni opłacani, ale raczej są grupą motywowaną finansowo, która czasami współpracuje z rządem.
typowy MO
MSTIC twierdzi, że grupa istnieje już od jakiegoś czasu, ale nie stała się tak duża ani popularna jak inni główni gracze, tacy jak BlackCat, REvil lub inni.
Ma ten sam sposób działania: znajdź lukę w systemach celu (Microsoft przyłapał grupę nadużywającą CVE-2022-26352), poruszaj się na boki w sieci, mapuj wszystkie punkty końcowe, wyciekaj wrażliwe dane, wdrażaj oprogramowanie ransomware (wcześniej SiennaPurple, a następnie uaktualniona do ulepszonej wersji SiennaBlue), a następnie żąda zapłaty okupu za klucz deszyfrujący i obietnicy, że dane nie zostaną ujawnione ani sprzedane na czarnym rynku.
Grupa zwykle byłaby skierowana do banków, szkół, organizacji produkcyjnych i firm zarządzających wydarzeniami.
Jeśli chodzi o płatność, grupa zażądałaby od 1,2 do 5 bitcoinów, czyli od 30.000 100.000 do XNUMX XNUMX USD po obecnych cenach. Jednak pomimo tego, że żądania te są stosunkowo niskie w porównaniu z innymi operatorami oprogramowania ransomware, Duch Święty nadal był skłonny negocjować i dalej obniżać cenę, czasami otrzymując tylko jedną trzecią tego, o co początkowo prosili.
Chociaż rzeczy takie jak częstotliwość ataków lub wybór celu skłoniły badaczy do przekonania, że Duch Święty nie jest aktorem sponsorowanym przez państwo, istnieją powiązania rządowe. Microsoft odkrył, że grupa komunikowała się z Lazarus Group, dobrze znanym graczem sponsorowanym przez państwo. Co więcej, obie grupy „działały z tego samego zestawu ram, a nawet używały niestandardowych programów do sprawdzania złośliwego oprogramowania o podobnych nazwach”.
Przez: BleepingComputer (Otwiera się w nowej karcie)