Исследователи из Microsoft Security обнаружили активность новой северокорейской хакерской группировки H0lyGh0st, которая в своих атаках на американские организации малого и среднего бизнеса использует программы-вымогатели. По словам экспертов, группа уже более года занимается разработкой вредоносного ПО и организацией атак на цели в США.
Помимо внедрения вымогательского программного обеспечения в сети компаний-жертв, группа H0lyGh0st, отслеживаемая Microsoft как DEV-0530, ведёт собственный сайт .onion, который используется для связи с жертвами.
Северокорейские хакеры шифруют внутренние данные атакованной компании, после чего отправляют жертве образец зашифрованных файлов в качестве доказательства, требуя выкуп в биткоинах в обмен на «восстановление доступа».
В Microsoft Threat Intelligence Center (MSTIC) по результатам проведенного исследования заявили, что группировка H0lyGh0st, скорее всего, напрямую финансируется северокорейскими властями. Это связано с экономическими причинами – с помощью кибератак с вымогательством правительство КНДР стремится компенсировать финансовый удар, нанесенный стране международными санкциями, стихийными бедствиями, засухой и карантином из-за COVID-19.
При этом в Microsoft не исключают и того, что хакерская группировка H0lyGh0st лишь маскируется под северокорейскую APT-группу, а её члены никак не связаны с властями КНДР, а лишь используют похожие инструменты, которые ранее применялись подтвержденными северокорейскими APT-группами.
В MSTIC отмечают, что группировка H0lyGh0st проводит атаки с использованием собственных программ-вымогателей примерно с ноября 2021 года. Обзор жертв показывает, что это были преимущественно малые и средние предприятия, в том числе производственные компании, финансовые организации, образовательные учреждения и т. д.
Согласно исследованию MSTIC, киберпреступники из H0lyGh0st запрашивают у своих жертв сравнительно малые суммы для восстановления доступа – от 1,2 до 5 биткоинов. Причем практически всего хакеры ведут переговоры, постепенно снижая сумму выкупа, если жертва согласна платить.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.