Un gruppo di minacce emergenti proveniente dalla Corea del Nord è stato collegato allo sviluppo e all’utilizzo di ransomware in attacchi informatici rivolti alle piccole imprese a partire dal settembre 2021.
Il gruppo, che si fa chiamare H0lyGh0st dal nome dell’omonimo payload di ransomware, viene monitorato dal Microsoft Threat Intelligence Center con il nome DEV-0530, una designazione assegnata a un gruppo di minacce sconosciuto, emergente o in via di sviluppo.
Le entità prese di mira includono principalmente aziende di piccole e medie dimensioni, come organizzazioni manifatturiere, banche, scuole e società di pianificazione di eventi e riunioni.
“Insieme al loro payload H0lyGh0st, DEV-0530 gestisce un sito .onion che il gruppo utilizza per interagire con le proprie vittime“, hanno dichiarato i ricercatori in un’analisi di giovedì.
“La metodologia standard del gruppo consiste nel criptare tutti i file sul dispositivo di destinazione e utilizzare l’estensione .h0lyenc, inviare alla vittima un campione dei file come prova e quindi richiedere il pagamento in Bitcoin in cambio del ripristino dell’accesso ai file“.
Gli importi dei riscatti richiesti da DEV-0530 variano tra 1,2 e 5 bitcoin, anche se un’analisi del portafoglio di criptovalute dell’aggressore non mostra alcun pagamento di riscatto riuscito da parte delle vittime all’inizio di luglio 2022.
Lo schema illecito adottato dall’attore della minaccia è noto anche per prendere spunto dal manuale dei ransomware, facendo leva sulle tattiche di estorsione per esercitare pressione sulle vittime affinché paghino o rischino di veder pubblicate le loro informazioni sui social media.
Il portale dark web di DEV-0530 afferma di voler “colmare il divario tra ricchi e poveri” e “aiutare i poveri e le persone che muoiono di fame“, in una tattica che rispecchia un’altra famiglia di ransomware chiamata GoodWill, che costringe le vittime a donare a cause sociali e a fornire assistenza finanziaria alle persone in difficoltà.
Ransomware H0lyGh0st
Le tracce tecniche che collegano il gruppo ad Andariel derivano da sovrapposizioni nel set di infrastrutture e si basano sulle comunicazioni tra gli account e-mail controllati dai due gruppi di aggressori, con l’attività di DEV-0530 osservata costantemente durante l’ora solare della Corea (UTC+09:00).
“Nonostante queste somiglianze, le differenze nel ritmo operativo, negli obiettivi e nella tecnica suggeriscono che DEV-0530 e Plutonium sono gruppi distinti“, hanno sottolineato i ricercatori.
Un segno che suggerisce uno sviluppo attivo, quattro diverse varianti del ransomware H0lyGh0st sono state prodotte tra giugno 2021 e maggio 2022 per colpire i sistemi Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe.
Mentre BTLC_C.exe (soprannominato SiennaPurple) è scritto in C++, le altre tre versioni (nome in codice SiennaBlue) sono programmate in Go, suggerendo un tentativo da parte dell’avversario di sviluppare malware multipiattaforma.
I nuovi ceppi presentano anche miglioramenti alle loro funzionalità di base, tra cui l’offuscamento delle stringhe e la capacità di eliminare le attività pianificate e di rimuoversi dalle macchine infette.
H0lyGh0st Ransomware
Le intrusioni sarebbero state facilitate dallo sfruttamento di vulnerabilità senza patch in applicazioni web e sistemi di gestione dei contenuti rivolti al pubblico (ad esempio, CVE-2022-26352), sfruttando l’acquisto per rilasciare i payload del ransomware ed esfiltrare i dati sensibili prima di crittografare i file.
Le scoperte arrivano una settimana dopo che le agenzie di cybersicurezza e di intelligence statunitensi hanno avvertito dell’uso del ransomware Maui da parte di hacker sostenuti dal governo nordcoreano per colpire il settore sanitario almeno dal maggio 2021.
L’espansione dalle rapine finanziarie al ransomware viene vista come l’ennesima tattica sponsorizzata dal governo nordcoreano per compensare le perdite dovute a sanzioni, disastri naturali e altri rovesci economici.
Tuttavia, dato il ristretto gruppo di vittime tipicamente associato alle attività sponsorizzate dallo Stato contro le organizzazioni di criptovalute, Microsoft ha teorizzato che gli attacchi potrebbero essere un’attività secondaria per gli attori delle minacce coinvolti.
