Alcuni dei ceppi di ransomware più pericolosi ora hanno

Holy Ghost, un operatore di ransomware meno noto (si apre in una nuova scheda), è probabilmente gestito da hacker nordcoreani, ha affermato Microsoft.

Il Threat Intelligence Center (MSTIC) dell'azienda ha monitorato la variante del malware (si apre in una nuova scheda) per oltre un anno e ha trovato ampie prove che dietro l'operazione ci siano i nordcoreani.

Sebbene il gruppo sembri essere collegato al governo del paese, sembra che non siano stipendiati, ma piuttosto un gruppo motivato finanziariamente che a volte collabora con il governo.

tipico MO

MSTIC dice che il gruppo è in circolazione da un po', ma non è diventato così grande o popolare come altri attori importanti, come BlackCat, REvil o altri.

Ha lo stesso modus operandi: trovare un difetto nei sistemi del bersaglio (Microsoft ha catturato il gruppo che abusava di CVE-2022-26352), spostarsi lateralmente nella rete, mappare tutti gli endpoint, perdere dati sensibili, distribuire un ransomware (in precedenza, il gruppo utilizzato SiennaPurple, quindi aggiornata a una versione migliorata di SiennaBlue), richiede quindi un riscatto per la chiave di decrittazione e la promessa che i dati non verranno divulgati o venduti sul mercato nero.

Il gruppo normalmente si rivolge a banche, scuole, organizzazioni manifatturiere e società di gestione di eventi.

Per quanto riguarda il pagamento, il gruppo richiederebbe tra 1,2 e 5 bitcoin, ovvero tra $ 30.000 e $ 100.000, a prezzi correnti. Tuttavia, anche se queste richieste sono relativamente basse rispetto ad altri operatori di ransomware, Holy Ghost era comunque disposto a negoziare e ridurre ulteriormente il prezzo, ottenendo a volte solo un terzo di quanto inizialmente richiesto.

Sebbene cose come la frequenza degli attacchi o la scelta dell'obiettivo abbiano portato i ricercatori a credere che lo Spirito Santo non sia un attore sponsorizzato dallo stato, ci sono legami con il governo. Microsoft ha scoperto che il gruppo stava comunicando con il Lazarus Group, un noto attore sponsorizzato dallo stato. Inoltre, entrambi i gruppi "operavano dallo stesso insieme di framework e utilizzavano anche controlli malware personalizzati con nomi simili".

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo