Cybergang Lazarus poluje na grubego zwierza, wykorzystując własne oprogramowanie ransomware


Cybergang Lazarus poluje na grubego zwierza, wykorzystując własne oprogramowanie ransomware
2020-07-28
Przeprowadzona przez firmę Kaspersky analiza incydentów obejmująca dwa przypadki w Europie i Azji wykazała, że oprogramowanie ransomware VHD należy do znanego północnokoreańskiego cybergangu Lazarus i jest przez niego aktywnie wykorzystywane.

Przygotowanie własnego narzędzia ransomware oznacza zmianę strategii tego ugrupowania i wskazuje na gotowość do udziału w pogoni za korzyściami finansowymi, co jest niezwykle rzadkie w przypadku zaawansowanych cyberprzestępców sponsorowanych przez rządy.

W marcu i kwietniu 2020 r. kilka organizacji z branży cyberbezpieczeństwa, w tym firma Kaspersky, informowało o oprogramowaniu ransomware VHD – szkodniku stworzonym w celu wyłudzania pieniędzy od ofiar, wyróżniającym się na tle innych ze względu na stosowaną metodę automatycznej replikacji. Zastosowanie narzędzia rozprzestrzeniania przygotowanego z wykorzystaniem danych uwierzytelniających specyficznych dla danej ofiary przypominało kampanie zaawansowanych cybergangów APT. Chociaż osoby stojące za tymi atakami nie zostały jeszcze zidentyfikowane, badacze z firmy Kaspersky z dużym stopniem pewności powiązali oprogramowanie ransomware VHD z cybergangiem Lazarus w wyniku analizy incydentu, w którym zostało ono wykorzystane wraz ze znanymi narzędziami tego ugrupowania przeciwko firmom we Francji i Azji.

W okresie marzec-kwiecień 2020 r. przeprowadzono dwa oddzielne dochodzenia dotyczące VHD. Chociaż pierwszy incydent, który miał miejsce w Europie, nie pozostawił wielu wskazówek pozwalających zidentyfikować sprawców, zespół dochodzeniowy zaciekawiły techniki rozprzestrzeniania, które były podobne do tych stosowanych przez zaawansowane ugrupowania APT. Poza tym atak nie pasował do typowego sposobu działania znanych grup cyberprzestępczych polujących na duże pieniądze. Również występowanie bardzo ograniczonej liczby próbek VHD wskazywało na to, że w przypadku tej rodziny oprogramowania ransomware nie można mówić o szerokiej sprzedaży na czarnorynkowych forach.

Drugi incydent dotyczący VHD dał pełny obraz łańcucha infekcji i umożliwił badaczom powiązanie tego oprogramowania ransomware z ugrupowaniem Lazarus. Co najważniejsze, atakujący wykorzystali backdoora (czyli tylną furtkę do atakowanego systemu) stanowiącego część wieloplatformowego zestawu narzędzi o nazwie MATA, o którym firma Kaspersky niedawno szczegółowo informowała i który jest powiązany ze wspomnianym wcześniej ugrupowaniem ze względu na wiele podobieństw w kodzie.

Zidentyfikowany związek wskazywał na to, że ugrupowanie Lazarus stało za udokumentowanymi do tej pory kampaniami z wykorzystaniem oprogramowania ransomware VHD. Ponadto po raz pierwszy ustalono, że omawiane ugrupowanie przeprowadziło ataki ukierunkowane z udziałem ransomware w celu osiągnięcia korzyści finansowych, tworząc i samodzielnie wykorzystując własne oprogramowanie, co jest stosunkowo nietypowe w ekosystemie cyberprzestępczym

Wiedzieliśmy, że ugrupowanie Lazarus zawsze było nastawione na korzyści finansowe, jednak od czasu WannaCry nie zaobserwowaliśmy w jego kontekście żadnych ataków z wykorzystaniem oprogramowania ransomware. Fakt stosowania przez grupę Lazarus nowych ataków tego rodzaju jest niepokojący. Globalne zagrożenie ze strony oprogramowania ransomware i wystarczająco duże, a organizacje, które padły jego ofiarą, często ponoszą straty finansowe prowadzące nawet do bankructwa. Musimy sobie zadać pytanie, czy ataki te stanowią odosobniony eksperyment, czy raczej nowy trend, a zatem czy firmy prywatne powinny martwić się, że padną ofiarą cyberprzestępców sponsorowanych przez rządy – komentuje Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa w zespole GreAT firmy Kaspersky. Niezależnie od odpowiedzi na to pytanie organizacje powinny pamiętać, że ochrona danych nadal jest istotna – tworzenie wyizolowanych kopii zapasowych ważnych danych oraz zainwestowanie w skuteczną ochronę jest absolutną koniecznością.  

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania mogące pomóc firmom zabezpieczyć się przed oprogramowaniem ransomware:

·         Zmniejsz ryzyko przedostania się oprogramowania ransomware do systemu poprzez wykorzystanie phishingu oraz zaniedbań po stronie pracowników: wyjaśnij personelowi, w jaki sposób przestrzeganie prostych zasad może pomóc zapobiec incydentom z udziałem oprogramowania ransomware. W tym celu pomocne mogą być szkolenia, takie jak te oferowane na zautomatyzowanej platformie Kaspersky Automated Security Awareness Platform.

·         Dopilnuj, aby wszystkie programy, aplikacje oraz systemy były zawsze aktualne. Stosuj rozwiązanie zabezpieczające zawierające funkcje zarządzania lukami w zabezpieczeniach i łatami w celu zidentyfikowania niezałatanych podatności w zabezpieczeniach sieci.

·         Przeprowadź kontrolę swoich sieci pod kątem cyberbezpieczeństwa i usuń wszelkie słabe punkty wykryte na obrzeżach lub wewnątrz sieci.

·         Dopilnuj, aby wszystkie punkty końcowe oraz serwery posiadały odpowiednią ochronę, stosując rozwiązanie takie jak Zintegrowana ochrona punktów końcowych firmy Kaspersky. Łączy ono ochronę punktów końcowych z piaskownicą oraz funkcjonalnością EDR, skutecznie zabezpieczając nawet przed nowymi rodzajami oprogramowania ransomware oraz zapewniając widoczność zagrożeń wykrytych na korporacyjnych punkach końcowych.

·         Zapewnij swojemu zespołowi odpowiedzialnemu za bezpieczeństwo dostęp do najnowszej analizy zagrożeń aby był na bieżąco z narzędziami, technikami oraz taktykami stosowanymi przez cyberprzestępców.

·         Oprogramowanie ransomware stanowi przestępstwo. Jeśli padniesz jego ofiarą, pod żadnym pozorem nie płać okupu. Zamiast tego zgłoś incydent lokalnym organom ścigania. Poszukaj w internecie narzędzia deszyfrującego – niektóre z tych narzędzi są dostępne na stronie https://www.nomoreransom.org/en/index.html.

Szczegóły dotyczące omawianych incydentów z udziałem oprogramowania ransomware VHD są dostępne na stronie https://r.kaspersky.pl/8iKPg.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl