Η ανάλυση περιστατικών από την Kaspersky για δύο περιπτώσεις στην Ευρώπη και την Ασία αποκάλυψε ότι το VHD ransomware – που συζητήθηκε για πρώτη φορά δημόσια την άνοιξη του 2020 – ανήκει και λειτουργείται από την ομάδα Lazarus, μια εξέχουσα ομάδα APT της Βόρειας Κορέας. Η κίνηση της Lazarus, για τη δημιουργία και τη διανομή ransomware, σηματοδοτεί μια αλλαγή στρατηγικής και υποδεικνύει την ετοιμότητα να εισέλθει στο μεγάλο κυνήγι του οικονομικού κέρδους, το οποίο είναι εξαιρετικά ασυνήθιστο μεταξύ των κρατικών ομάδων APT.
Τον Μάρτιο και τον Απρίλιο του 2020, μερικοί οργανισμοί ψηφιακής ασφάλειας, συμπεριλαμβανομένης της Kaspersky, ανέφεραν το VHD ransomware – ένα κακόβουλο πρόγραμμα που έχει σχεδιαστεί για να αποσπάσει χρήματα από τα θύματά του, το οποίο ξεχώρισε λόγω της μεθόδου αυτοδιπλασιασμού που χρησιμοποιεί. Η χρήση από αυτό το κακόβουλο λογισμικό ενός βοηθητικού προγράμματος εξάπλωσης που έχει συσταθεί από στοιχεία σύνδεσης συγκεκριμένων θυμάτων θυμίζει εκστρατείες APT. Ενώ, τότε, ο φορέας πίσω από τις επιθέσεις δεν είχε καθοριστεί, οι ερευνητές της Kaspersky συνέδεσαν το VHD ransomware με τη Lazarus με μεγάλη σιγουριά μετά από ανάλυση ενός συμβάντος στο οποίο χρησιμοποιήθηκε σε στενή συσχέτιση με γνωστά εργαλεία της Lazarus εναντίον επιχειρήσεων στη Γαλλία και την Ασία.
Πραγματοποιήθηκαν δύο ξεχωριστές έρευνες που αφορούσαν το VHD ransomware μεταξύ Μαρτίου και Μαΐου 2020. Ενώ το πρώτο περιστατικό, το οποίο συνέβη στην Ευρώπη, δεν έδωσε πολλές ενδείξεις για το ποιος ήταν πίσω από αυτό, οι τεχνικές διάδοσης παρόμοιες με αυτές που χρησιμοποιούν οι ομάδες APT κράτησαν ενεργό το ενδιαφέρον της ερευνητικής ομάδας. Επιπλέον, η επίθεση δεν ταιριάζει με το συνηθισμένο modus operandi γνωστών αντίστοιχων ομάδων. Επίσης, το γεγονός ότι ήταν διαθέσιμος ένας πολύ περιορισμένος αριθμός δειγμάτων VHD ransomware – σε συνδυασμό με πολύ λίγες δημόσιες αναφορές – έδειξε ότι αυτή η οικογένεια ransomware ενδέχεται να μην ανταλλάσσεται ευρέως σε φόρουμ σκοτεινών αγορών, όπως συμβαίνει συνήθως.
Το δεύτερο περιστατικό που αφορούσε το VHD ransomware παρείχε μια πλήρη εικόνα της αλυσίδας «μόλυνσης» και επέτρεψε στους ερευνητές να συνδέσουν το ransomware με την ομάδα Lazarus. Μεταξύ άλλων –και το πιο σημαντικό– οι επιτιθέμενοι χρησιμοποίησαν ένα backdoor, το οποίο ήταν μέρος ενός πλαισίου πολλαπλών πλατφορμών που ονομάζεται MATA, το οποίο ανέφερε πρόσφατα η Kaspersky και συνδέεται με τον προαναφερθέντα παράγοντα απειλής λόγω ορισμένων ομοιοτήτων στον κώδικα και στην αξιοποίηση.
Η εδραιωμένη σύνδεση έδειξε ότι η Lazarus ήταν πίσω από τις εκστρατείες VHD ransomware που έχουν τεκμηριωθεί μέχρι στιγμής. Είναι επίσης η πρώτη φορά που διαπιστώνεται ότι η ομάδα Lazarus κατέφυγε σε στοχευμένες επιθέσεις ransomware για οικονομικό κέρδος, έχοντας δημιουργήσει και εκμεταλλευτεί αποκλειστικά το δικό της ransomware, το οποίο δεν είναι τυπικό στο οικοσύστημα του ψηφιακού εγκλήματος.
«Γνωρίζαμε ότι η Lazarus ήταν πάντα επικεντρωμένη στο οικονομικό κέρδος, ωστόσο, από την εποχή WannaCry δεν είχαμε δει καμία σχέση με ransomware. Παρόλο που είναι προφανές ότι η ομάδα δεν μπορεί να ταιριάξει με την αποτελεσματικότητα άλλων ψηφιακών συμμοριών με αυτήν την hit-and-run προσέγγιση του στοχευμένου ransomware, είναι ανησυχητικό το γεγονός ότι έχει στραφεί σε τέτοιου είδους επιθέσεις. Η παγκόσμια απειλή ransomware είναι αρκετά μεγάλη ως έχει, και, συχνά, έχει σημαντικές οικονομικές επιπτώσεις για τους οργανισμούς – θύματα μέχρι το σημείο να τους οδηγήσει σε πτώχευση. Αυτό για το οποίο πρέπει να αναρωτηθούμε είναι αν αυτές οι επιθέσεις είναι ένα μεμονωμένο πείραμα ή μέρος μιας νέας τάσης και, κατά συνέπεια, εάν οι ιδιωτικές εταιρείες πρέπει να ανησυχούν μήπως πέσουν θύματα κρατικά χρηματοδοτούμενων απειλητικών φορέων», σχολιάζει ο Ivan Kwiatkowski, ανώτερος ερευνητής ασφαλείας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky. «Ανεξάρτητα, οι οργανισμοί πρέπει να θυμούνται ότι η προστασία των δεδομένων παραμένει πιο σημαντική παρά ποτέ – η δημιουργία μεμονωμένων αντιγράφων ασφάλειας βασικών δεδομένων και η επένδυση σε αντιδραστικές άμυνες είναι απολύτως απαραίτητα».
Για να βοηθήσουν τις επιχειρήσεις να παραμείνουν προστατευμένες από ransomware, οι ειδικοί προτείνουν επίσης τα ακόλουθα βήματα:
- Μειώστε την πιθανότητα να πέσετε θύματα ransomware είτε μέσω phishing είτε από αμέλεια: εξηγήστε στους υπαλλήλους πώς η συμμόρφωση με απλούς κανόνες μπορεί να βοηθήσει μια εταιρεία να αποφύγει περιστατικά ransomware. Τα ειδικά μαθήματα κατάρτισης μπορούν να βοηθήσουν, όπως αυτά που παρέχονται στην πλατφόρμα Kaspersky Automated Security Awareness Platform.
- Βεβαιωθείτε ότι όλα τα λογισμικά, οι εφαρμογές και τα συστήματα είναι πάντα ενημερωμένα. Χρησιμοποιήστε μια λύση προστασίας με λειτουργίες διαχείρισης ευπαθειών και ενημερώσεων κώδικα, για να προσδιορίσετε τις ευπάθειες που δεν έχουν ακόμη επιδιορθωθεί στο δίκτυό σας.
- Πραγματοποιήστε έλεγχο ψηφιακής ασφάλειας των δικτύων σας και αποκαταστήστε τυχόν αδυναμίες που εντοπίστηκαν στην περίμετρο ή στο εσωτερικό του δικτύου.
- Βεβαιωθείτε ότι υπάρχει η σωστή προστασία για όλα τα τερματικά σημεία και τους servers, υιοθετώντας μια λύση όπως το Integrated Endpoint Security της Kaspersky. Αυτό συνδυάζει την ασφάλεια του τερματικού σημείου με το sandbox και τη λειτουργία EDR που επιτρέπει αποτελεσματική προστασία ακόμη και από νέους τύπους ransomware και άμεση ορατότητα έναντι των απειλών που εντοπίζονται σε εταιρικά τερματικά σημεία.
- Παρέχετε στην ομάδα ασφαλείας σας πρόσβαση στην πιο πρόσφατη πληροφόρηση για απειλές ώστε να τη διατηρείτε ενημερωμένη με νέα και αναδυόμενα εργαλεία, τεχνικές και τακτικές που χρησιμοποιούνται από απειλητικούς φορείς και ψηφιακούς εγκληματίες.
- Το ransomware είναι ποινικό αδίκημα. Εάν πέσετε θύμα, μην πληρώσετε ποτέ λύτρα. Αντ’ αυτού, αναφέρετε το περιστατικό στις τοπικές διωκτικές αρχές. Προσπαθήστε να βρείτε ένα decryptor στο Διαδίκτυο – θα βρείτε μερικά διαθέσιμα στο https://www.nomoreransom.org/en/index.html.
Περισσότερες πληροφορίες μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist.com.