Sebuah cluster ancaman yang muncul yang berasal dari Korea Utara telah dikaitkan dengan pengembangan dan penggunaan ransomware dalam serangan siber yang menargetkan usaha kecil sejak September 2021.
Grup, yang menyebut dirinya H0lyGh0st setelah muatan ransomware dengan nama yang sama, sedang dilacak oleh Microsoft Threat Intelligence Center di bawah moniker DEV-0530, sebutan yang ditetapkan untuk grup aktivitas ancaman yang tidak diketahui, muncul, atau berkembang.
Entitas yang ditargetkan terutama mencakup usaha kecil hingga menengah seperti organisasi manufaktur, bank, sekolah, dan perusahaan perencanaan acara dan pertemuan.
“Bersama dengan muatan H0lyGh0st mereka, DEV-0530 memelihara situs .onion yang digunakan kelompok untuk berinteraksi dengan korban mereka,” kata para peneliti dalam analisis hari Kamis.
“Metodologi standar grup ini adalah mengenkripsi semua file pada perangkat target dan menggunakan ekstensi file .h0lyenc, mengirimkan sampel file kepada korban sebagai bukti, dan kemudian meminta pembayaran dalam Bitcoin sebagai imbalan untuk memulihkan akses ke file.”
Jumlah tebusan yang diminta oleh DEV-0530 berkisar antara 1,2 dan 5 bitcoin, meskipun analisis dompet cryptocurrency penyerang menunjukkan tidak ada pembayaran tebusan yang berhasil dari para korbannya pada awal Juli 2022.
DEV-0530 diyakini memiliki hubungan dengan kelompok lain yang berbasis di Korea Utara yang dikenal sebagai Plutonium (alias DarkSeoul atau Andariel), sebuah sub-kelompok yang beroperasi di bawah payung Lazarus (alias Seng atau Kobra Tersembunyi).
Skema terlarang yang diadopsi oleh aktor ancaman juga diketahui mengambil daun dari lanskap ransomware, memanfaatkan taktik pemerasan untuk memberikan tekanan pada korban agar membayar atau mengambil risiko agar informasi mereka dipublikasikan di media sosial.
Portal web gelap DEV-0530 mengklaim itu bertujuan untuk “menutup kesenjangan antara kaya dan miskin” dan “membantu orang miskin dan kelaparan,” dalam sebuah taktik yang mencerminkan keluarga ransomware lain yang disebut GoodWill yang memaksa korban untuk menyumbang untuk tujuan sosial dan memberikan bantuan keuangan kepada orang yang membutuhkan.
Breadcrumb teknis yang mengikat grup ke Andariel berasal dari tumpang tindih dalam set infrastruktur serta berdasarkan komunikasi antara akun email yang dikendalikan oleh dua kolektif penyerang, dengan aktivitas DEV-0530 yang secara konsisten diamati selama Waktu Standar Korea (UTC+09:00) .
“Terlepas dari kesamaan ini, perbedaan dalam tempo operasional, penargetan, dan tradecraft menunjukkan DEV-0530 dan Plutonium adalah kelompok yang berbeda,” para peneliti menunjukkan.
Sebagai tanda yang menunjukkan pengembangan aktif, empat varian berbeda dari ransomware H0lyGh0st dibuat antara Juni 2021 dan Mei 2022 untuk menargetkan sistem Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe, dan BLTC.exe.
Sementara BTLC_C.exe (dijuluki SiennaPurple) ditulis dalam C++, tiga versi lainnya (dengan nama kode SiennaBlue) diprogram dalam Go, menunjukkan upaya dari pihak musuh untuk mengembangkan malware lintas platform.
Strain yang lebih baru juga dilengkapi dengan peningkatan fungsionalitas intinya, termasuk kebingungan string dan kemampuan untuk menghapus tugas terjadwal dan menghapus dirinya sendiri dari mesin yang terinfeksi.
Penyusupan tersebut dikatakan telah difasilitasi melalui eksploitasi kerentanan yang belum ditambal dalam aplikasi web yang menghadap publik dan sistem manajemen konten (misalnya, CVE-2022-26352), memanfaatkan pembelian untuk menjatuhkan muatan ransomware dan mengekstrak data sensitif sebelum mengenkripsi file.
Temuan ini muncul seminggu setelah keamanan siber AS, dan badan intelijen memperingatkan tentang penggunaan ransomware Maui oleh peretas yang didukung pemerintah Korea Utara untuk menargetkan sektor perawatan kesehatan setidaknya sejak Mei 2021.
Ekspansi dari perampokan finansial ke ransomware dipandang sebagai taktik lain yang disponsori oleh pemerintah Korea Utara untuk mengimbangi kerugian akibat sanksi, bencana alam, dan kemunduran ekonomi lainnya.
Tetapi mengingat jumlah korban yang sempit daripada yang biasanya dikaitkan dengan aktivitas yang disponsori negara terhadap organisasi cryptocurrency, Microsoft berteori bahwa serangan itu bisa menjadi upaya sampingan bagi aktor ancaman yang terlibat.
“Ada kemungkinan yang sama bahwa pemerintah Korea Utara tidak mengizinkan atau mendukung serangan ransomware ini,” kata para peneliti. “Individu yang memiliki hubungan dengan infrastruktur dan peralatan Plutonium bisa jadi bekerja sambilan untuk keuntungan pribadi. Teori kerja sampingan ini mungkin menjelaskan pemilihan korban yang sering dilakukan secara acak yang ditargetkan oleh DEV-0530.”
Ancaman ransomware berkembang di dunia pasca-Conti
Perkembangan ini juga datang ketika lanskap ransomware berkembang dengan kelompok ransomware yang ada dan baru, yaitu LockBit, Hive, Lilith, RedAlert (alias N13V), dan 0mega, bahkan ketika geng Conti secara resmi menutup operasinya sebagai tanggapan atas kebocoran besar-besaran. obrolan internal.
Menambahkan bahan bakar ke api, penerus LockBit yang ditingkatkan juga dilengkapi dengan situs kebocoran data baru yang memungkinkan setiap aktor untuk membeli data yang dicuri dari korban, belum lagi menggabungkan fitur pencarian yang membuatnya lebih mudah untuk memunculkan informasi sensitif.
Keluarga ransomware lain juga telah menambahkan kemampuan serupa dalam upaya untuk membuat database yang dapat dicari dari informasi yang dicuri selama serangan. Yang terkenal di antara daftar ini adalah PYSA, BlackCat (alias ALPHV), dan cabang Conti yang dikenal sebagai Karakurt, menurut laporan dari Bleeping Computer.
Berdasarkan statistik yang dikumpulkan oleh Digital Shadows, 705 organisasi disebutkan dalam situs web kebocoran data ransomware pada kuartal kedua tahun 2022, menandai peningkatan 21,1% dari Q1 2022. Kelompok ransomware teratas selama periode tersebut termasuk LockBit, Conti, BlackCat, Black Basta, dan Wakil Masyarakat.