朝鲜黑客使用H0lyGh0st勒索软件瞄准中小企业

自2021 9月以来，来自朝鲜的一个新兴威胁群一直与开发和使用勒索软件进行针对小企业的网络攻击有关。

该组织自称为H0lyGh0st，以相同名称的勒索软件有效载荷命名，由微软威胁情报中心（Microsoft Threat Intelligence Center）以DEV-0530的名义进行跟踪，DEV-0530是一个用于未知、新兴或正在发展的威胁活动组的名称。

目标实体主要包括中小型企业，如制造组织、银行、学校以及活动和会议策划公司。

研究人员在周四的一份分析报告中说：“DEV-0530除了其H0lyGh0st有效载荷外，还维护着一个洋葱网站，该组织使用该网站与受害者互动”。

“该组织的标准方法是加密目标设备上的所有文件并使用文件扩展名。h0lyenc，向受害者发送文件样本作为证据，然后要求以比特币付款，以换取恢复对文件的访问”。

DEV-0530要求的赎金金额在1.2到5比特币之间，尽管对攻击者加密货币钱包的分析表明，截至2022年7月初，受害者没有成功支付赎金。

DEV-0530被认为与另一个以朝鲜为基地的集团钚（又名Darkseul或Andariel）有联系，该集团是在Lazarus保护伞（又名锌或隐藏眼镜蛇）下运作的一个子集团。

众所周知，威胁行为人所采用的非法计划借鉴了勒索软件的做法，利用敲诈勒索战术向受害者施压，迫使其支付费用，或冒着在社交媒体上发布信息的风险。

DEV-0530的黑暗门户网站声称其旨在“缩小贫富差距”和“帮助穷人和饥饿的人”，这一策略反映了另一个勒索软件家族，即善意，迫使受害者向社会事业捐款，并向需要帮助的人提供经济援助。

研究人员指出：“尽管有这些相似之处，但在操作速度、瞄准和工艺方面的差异表明，DEV-0530和钚是不同的群体”。

2021 6月至2022年5月期间，针对Windows系统，H0lyGh0st勒索软件的四种不同变体被大量生产出来，这表明其正在积极开发中：BTLC_C.exe、HolyRS。exe，HolyLock。exe和BLTC。exe。

虽然BTLC_C.exe（称为SiennaPurple）是用C++编写的，但其他三个版本（代号为SiennaBlue）是用Go编程的，这表明对手试图开发跨平台恶意软件。

新的病毒株还对其核心功能进行了改进，包括字符串模糊处理和删除计划任务并从受感染机器中删除自己的能力。

据称，通过利用面向公众的web应用程序和内容管理系统（例如CVE-2022-26352）中未修补的漏洞，利用购买来丢弃勒索软件有效载荷，并在加密文件之前过滤敏感数据，从而促进了入侵。

一周前，美国网络安全和情报机构就朝鲜政府支持的黑客自2021以来使用毛伊岛勒索软件攻击医疗行业发出警告。

从金融盗窃扩展到勒索被视为朝鲜政府支持的另一种策略，以抵消制裁、自然灾害和其他经济挫折造成的损失。

但是，与国家资助的针对加密货币组织的活动相比，受害者的范围很窄，因此微软认为，这些攻击可能是对相关威胁行为体的附带攻击。

研究人员说：“同样可能的是，朝鲜政府没有启用或支持这些勒索软件攻击”。“与钚基础设施和工具有联系的个人可能是为了个人利益而兼职。这种兼职理论可能解释了DEV-0530经常随机选择受害者的原因”。

勒索软件威胁在后Conti世界中演变

随着勒索软件领域的发展，现有和新的勒索软件集团，即LockBit、Hive、Lilith、RedAlert（又名N13V）和0mega，勒索软件领域也在不断发展，尽管Conti帮派为了应对内部聊天的大规模泄漏而正式关闭了其业务。

为火上浇油，LockBit的改进后继者还提供了一个全新的数据泄露网站，允许任何参与者购买从受害者那里掠夺的数据，更不用说加入了一个搜索功能，使敏感信息更容易浮出水面。

根据Digital Shadows收集的统计数据，2022年第二季度，勒索软件数据泄露网站中有705家组织被命名，比2022年第一季度增长了21.1%。在此期间，顶级勒索软件家族包括LockBit、Conti、BlackCat、Black Basta和Vice Society。