Severokorejští hackeři používají vyděračský software

Analýza dvou kybernetických útoků na subjekty v Evropě a Asii z jara tohoto roku ukázala, že hackerská skupina Lazarus vlastní a používá VHD ransomware. Tato nechvalně známá APT skupina ze Severní Koreje se tak podle odborníků z Kaspersky rozhodla k velkému strategickému posunu, kdy je nově jejím cílem zisk financí, což je u státem sponzorovaných hackerů velmi neobvyklé.

V březnu a dubnu tohoto roku informovala řada kyberbezpečnostních organizací včetně Kaspersky o VHD ransomwaru. Tento škodlivý program je navržený tak, aby od svých obětí pod výhružkami získal peníze. Od jiných ransomwarů se však lišil svojí unikátní metodou sebereplikace. Ta spolu s funkcí kompilace údajů o konkrétní oběti dala odborníkům vodítko ukazující na možné zapojení APT hackerské skupiny. Odborníci z Kaspersky nakonec s největší pravděpodobností označili za autora této hrozby skupinu Lazarus, přičemž své tvrzení opírají o analýzu incidentů proti firmám ve Francii a Asii, v nichž byl tento VHD ransomware použit v kombinaci se známými nástroji této skupiny.

Mezi březnem a květnem 2020 proběhla dvě samostatná vyšetřování zaměřená na VHD ransomware. První incident, ke kterému došlo v Evropě, neobsahoval mnoho stop po možných pachatelích. Jeho techniky šíření podobné těm, které používají skupiny APT, ale nechávaly vyšetřovací tým v napnutí. Útok navíc neodpovídal obvyklému modu-operandi známých velkých kyberzločineckých skupin. Podezřelá byla také skutečnost, že byl k dispozici pouze velmi omezený počet vzorků VHD ransomwaru. Tento fakt ve spojení s mizivým počtem veřejně dostupných informací naznačoval, že se tato ransomwarová rodina nejspíš nebude obchodovat na fórech darknetu, jak by tomu v běžných případech bylo.

Druhý útok VHD ransomwarem poskytl odborníkům ucelený obrázek o způsobu šíření infekce a umožnil jim propojit tento ransomware se skupinou Lazarus. Útočníci mimo jiné použili backdoor, který je součástí multiplatformové struktury označené MATA, o které před nedávnem detailně informovala společnost Kaspersky. Tuto strukturu pojí se skupinou Lazarus řada kódových a utility podobností.

Tato zjištění tak dokládají, že za dosavadními kampaněmi s VHD ransomwarem stojí skupina Lazarus. Je to také poprvé, co bylo zjištěno, že se skupina Lazarus uchýlila k cíleným útokům za použití ransomwaru, aby dosáhla finančního zisku.

„Skupina Lazarus je odedávna zaměřena na krádeže financí, ale od útoků WannaCry jsme u nich žádnou jinou aktivitu s ransomwarem neviděli. I když je zřejmé, že se tato skupina nedokáže vyrovnat účinností jiným hackerským skupinám, které provádí cílené útoky ransomwarem, je skutečnost, že se k tomuto kroku odhodlala, přinejmenším znepokojivá. Globální hrozba ransomwaru je už tak dost vysoká. Musíme se tedy ptát, zda jde o izolované experimenty nebo jestli stojíme před novým trendem. Měly by se soukromé společnosti obávat toho, že se stanou obětí státem sponzorovaných hackerů,“ komentuje Ivan Kwiatkowsky, bezpečnostní odborník z týmu GReAT společnosti Kaspersky.

Aby se firmy nestaly obětí ransomwaru, měly by se podle odborníků řídit následujícími zásadami:

► Minimalizujte šanci ransomwaru dostat se do vašich systémů skrz phishing a neopatrnost zaměstnanců – poskytněte jim školení v oblasti kybernetické bezpečnosti. K tomu vám pomohou specializované školicí kurzy platformy Kaspersky Automated Security Awareness Platform.

► Zajistěte včasnou aktualizaci všech softwarů, aplikací a systémů. Používejte bezpečnostní řešení, které má funkci vulnerability and patch management, a které vám pomůže identifikovat dosud neopravené zranitelnosti v síti.

► Proveďte audit kybernetické bezpečnosti svých sítí a opravte případná slabá místa.

► Na všech koncových zařízeních a serverech používejte správné bezpečnostní řešení jako je Kaspersky Integrated Endpoint Security. To kombinuje zabezpečení koncových bodů s funkcemi sandboxu a EDR, které odhalí i doposud neznámé hrozby včetně ransomwaru.

► Zajistěte, že tým vašich bezpečnostních odborníků má neustálý přístup k nejnovějším informacím o kyberhrozbách, technikách a nástrojích kyberzločinců.

► Ransomware je trestný čin. Pokud se stanete jeho obětí, nikdy neplaťte výkupné. Místo toho nahlaste incident na policii a zkuste vyhledat dešifrovací klíč na internetu – pomoc můžete najít například na stránce: https://www.nomoreransom.org/en/index.html

Více informací se o VHD ransomwaru dozvíte na blogu Securelist. (28.7.2020)