Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Microsoft: хакеры-вымогатели из Северной Кореи атакуют малый и средний бизнес в США

1
1 мин
Исследователи из Microsoft Security обнаружили активность новой северокорейской хакерской группировки H0lyGh0st, которая в своих атаках на американские организации малого и среднего бизнеса использует программы-вымогатели. По словам экспертов, группа уже более года занимается разработкой вредоносного ПО и организацией атак на цели в США. Помимо внедрения вымогательского программного обеспечения в сети компаний-жертв, группа H0lyGh0st, отслеживаемая Microsoft как DEV-0530, ведёт собственный сайт .onion, который используется для связи с жертвами. Северокорейские хакеры шифруют внутренние данные атакованной компании, после чего отправляют жертве образец зашифрованных файлов в качестве доказательства, требуя выкуп в биткоинах в обмен на «восстановление доступа». В Microsoft Threat Intelligence Center (MSTIC) по результатам проведенного исследования заявили, что группировка H0lyGh0st, скорее всего, напрямую финансируется северокорейскими властями. Это связано с экономическими причинами – с

Исследователи из Microsoft Security обнаружили активность новой северокорейской хакерской группировки H0lyGh0st, которая в своих атаках на американские организации малого и среднего бизнеса использует программы-вымогатели. По словам экспертов, группа уже более года занимается разработкой вредоносного ПО и организацией атак на цели в США.

Изображение: Micha Brändli (unsplash)
Изображение: Micha Brändli (unsplash)

Помимо внедрения вымогательского программного обеспечения в сети компаний-жертв, группа H0lyGh0st, отслеживаемая Microsoft как DEV-0530, ведёт собственный сайт .onion, который используется для связи с жертвами.

Северокорейские хакеры шифруют внутренние данные атакованной компании, после чего отправляют жертве образец зашифрованных файлов в качестве доказательства, требуя выкуп в биткоинах в обмен на «восстановление доступа».

В Microsoft Threat Intelligence Center (MSTIC) по результатам проведенного исследования заявили, что группировка H0lyGh0st, скорее всего, напрямую финансируется северокорейскими властями. Это связано с экономическими причинами – с помощью кибератак с вымогательством правительство КНДР стремится компенсировать финансовый удар, нанесенный стране международными санкциями, стихийными бедствиями, засухой и карантином из-за COVID-19.

При этом в Microsoft не исключают и того, что хакерская группировка H0lyGh0st лишь маскируется под северокорейскую APT-группу, а её члены никак не связаны с властями КНДР, а лишь используют похожие инструменты, которые ранее применялись подтвержденными северокорейскими APT-группами.

В MSTIC отмечают, что группировка H0lyGh0st проводит атаки с использованием собственных программ-вымогателей примерно с ноября 2021 года. Обзор жертв показывает, что это были преимущественно малые и средние предприятия, в том числе производственные компании, финансовые организации, образовательные учреждения и т. д.

Согласно исследованию MSTIC, киберпреступники из H0lyGh0st запрашивают у своих жертв сравнительно малые суммы для восстановления доступа – от 1,2 до 5 биткоинов. Причем практически всего хакеры ведут переговоры, постепенно снижая сумму выкупа, если жертва согласна платить.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.