Η ανάλυση περιστατικών από την Kaspersky για δύο περιπτώσεις στην Ευρώπη και την Ασία αποκάλυψε ότι το VHD ransomware – που συζητήθηκε για πρώτη φορά δημόσια την άνοιξη του 2020 – ανήκει και λειτουργείται από την ομάδα Lazarus, μια εξέχουσα ομάδα APT της Βόρειας Κορέας.

Η κίνηση της Lazarus, για τη δημιουργία και τη διανομή ransomware, σηματοδοτεί μια αλλαγή στρατηγικής και υποδεικνύει την ετοιμότητα να εισέλθει στο μεγάλο κυνήγι του οικονομικού κέρδους, το οποίο είναι εξαιρετικά ασυνήθιστο μεταξύ των κρατικών ομάδων APT.

Τον Μάρτιο και τον Απρίλιο του 2020, μερικοί οργανισμοί ψηφιακής ασφάλειας, συμπεριλαμβανομένης της Kaspersky, ανέφεραν το VHD ransomware – ένα κακόβουλο πρόγραμμα που έχει σχεδιαστεί για να αποσπάσει χρήματα από τα θύματά του, το οποίο ξεχώρισε λόγω της μεθόδου αυτοδιπλασιασμού που χρησιμοποιεί. Η χρήση από αυτό το κακόβουλο λογισμικό ενός βοηθητικού προγράμματος εξάπλωσης που έχει συσταθεί από στοιχεία σύνδεσης συγκεκριμένων θυμάτων θυμίζει εκστρατείες APT. Ενώ, τότε, ο φορέας πίσω από τις επιθέσεις δεν είχε καθοριστεί, οι ερευνητές της Kaspersky συνέδεσαν το VHD ransomware με τη Lazarus με μεγάλη σιγουριά μετά από ανάλυση ενός συμβάντος στο οποίο χρησιμοποιήθηκε σε στενή συσχέτιση με γνωστά εργαλεία της Lazarus εναντίον επιχειρήσεων στη Γαλλία και την Ασία.

Πραγματοποιήθηκαν δύο ξεχωριστές έρευνες που αφορούσαν το VHD ransomware μεταξύ Μαρτίου και Μαΐου 2020. Ενώ το πρώτο περιστατικό, το οποίο συνέβη στην Ευρώπη, δεν έδωσε πολλές ενδείξεις για το ποιος ήταν πίσω από αυτό, οι τεχνικές διάδοσης παρόμοιες με αυτές που χρησιμοποιούν οι ομάδες APT κράτησαν ενεργό το ενδιαφέρον της ερευνητικής ομάδας. Επιπλέον, η επίθεση δεν ταιριάζει με το συνηθισμένο modus operandiγνωστών αντίστοιχων ομάδων. Επίσης, το γεγονός ότι ήταν διαθέσιμος ένας πολύ περιορισμένος αριθμός δειγμάτων VHD ransomware – σε συνδυασμό με πολύ λίγες δημόσιες αναφορές – έδειξε ότι αυτή η οικογένειαransomware ενδέχεται να μην ανταλλάσσεται ευρέως σε φόρουμ σκοτεινών αγορών, όπως συμβαίνει συνήθως.

Το δεύτερο περιστατικό που αφορούσε το VHD ransomware παρείχε μια πλήρη εικόνα της αλυσίδας «μόλυνσης» και επέτρεψε στους ερευνητές να συνδέσουν το ransomware με την ομάδα Lazarus. Μεταξύ άλλων –και το πιο σημαντικό– οι επιτιθέμενοι χρησιμοποίησαν ένα backdoor, το οποίο ήταν μέρος ενός πλαισίου πολλαπλών πλατφορμών που ονομάζεται MATA, το οποίο ανέφερε πρόσφατα η Kaspersky και συνδέεται με τον προαναφερθέντα παράγοντα απειλής λόγω ορισμένων ομοιοτήτων στον κώδικα και στην αξιοποίηση.

Η εδραιωμένη σύνδεση έδειξε ότι η Lazarus ήταν πίσω από τις εκστρατείες VHD ransomware που έχουν τεκμηριωθεί μέχρι στιγμής. Είναι επίσης η πρώτη φορά που διαπιστώνεται ότι η ομάδα Lazarus κατέφυγε σε στοχευμένες επιθέσεις ransomware για οικονομικό κέρδος, έχοντας δημιουργήσει και εκμεταλλευτεί αποκλειστικά το δικό της ransomware, το οποίο δεν είναι τυπικό στο οικοσύστημα του ψηφιακού εγκλήματος.

«Γνωρίζαμε ότι η Lazarus ήταν πάντα επικεντρωμένη στο οικονομικό κέρδος, ωστόσο, από την εποχή WannaCryδεν είχαμε δει καμία σχέση με ransomware. Παρόλο που είναι προφανές ότι η ομάδα δεν μπορεί να ταιριάξει με την αποτελεσματικότητα άλλων ψηφιακών συμμοριών με αυτήν την hit-and-run προσέγγιση του στοχευμένου ransomware, είναι ανησυχητικό το γεγονός ότι έχει στραφεί σε τέτοιου είδους επιθέσεις. Η παγκόσμια απειλή ransomware είναι αρκετά μεγάλη ως έχει, και, συχνά, έχει σημαντικές οικονομικές επιπτώσεις για τους οργανισμούς – θύματα μέχρι το σημείο να τους οδηγήσει σε πτώχευση. Αυτό για το οποίο πρέπει να αναρωτηθούμε είναι αν αυτές οι επιθέσεις είναι ένα μεμονωμένο πείραμα ή μέρος μιας νέας τάσης και, κατά συνέπεια, εάν οι ιδιωτικές εταιρείες πρέπει να ανησυχούν μήπως πέσουν θύματα κρατικά χρηματοδοτούμενων απειλητικών φορέων», σχολιάζει ο Ivan Kwiatkowski, ανώτερος ερευνητής ασφαλείας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky. «Ανεξάρτητα, οι οργανισμοί πρέπει να θυμούνται ότι η προστασία των δεδομένων παραμένει πιο σημαντική παρά ποτέ – η δημιουργία μεμονωμένων αντιγράφων ασφάλειας βασικών δεδομένων και η επένδυση σε αντι