Przeprowadzona przez firm? Kaspersky analiza incydentów obejmuj?ca dwa przypadki w Europie i Azji wykaza?a, ?e oprogramowanie ransomware VHD – o którym po raz pierwszy wspomniano publicznie wiosn? 2020 r. – nale?y do znanego pó?nocnokorea?skiego cybergangu Lazarus i jest przez niego aktywnie wykorzystywane. Przygotowanie w?asnego narz?dzia ransomware oznacza zmian? strategii tego ugrupowania i wskazuje na gotowo?? do udzia?u w pogoni za korzy?ciami finansowymi, co jest niezwykle rzadkie w przypadku zaawansowanych cyberprzest?pców sponsorowanych przez rz?dy.
W marcu i kwietniu 2020 r. kilka organizacji z bran?y cyberbezpiecze?stwa, w tym firma Kaspersky, informowa?o o oprogramowaniu ransomware VHD – szkodniku stworzonym w celu wy?udzania pieni?dzy od ofiar, wyró?niaj?cym si? na tle innych ze wzgl?du na stosowan? metod? automatycznej replikacji. Zastosowanie narz?dzia rozprzestrzeniania przygotowanego z wykorzystaniem danych uwierzytelniaj?cych specyficznych dla danej ofiary przypomina?o kampanie zaawansowanych cybergangów APT. Chocia? osoby stoj?ce za tymi atakami nie zosta?y jeszcze zidentyfikowane, badacze z firmy Kaspersky z du?ym stopniem pewno?ci powi?zali oprogramowanie ransomware VHD z cybergangiem Lazarus w wyniku analizy incydentu, w którym zosta?o ono wykorzystane wraz ze znanymi narz?dziami tego ugrupowania przeciwko firmom we Francji i Azji.
W okresie marzec-kwiecie? 2020 r. przeprowadzono dwa oddzielne dochodzenia dotycz?ce VHD. Chocia? pierwszy incydent, który mia? miejsce w Europie, nie pozostawi? wielu wskazówek pozwalaj?cych zidentyfikowa? sprawców, zespó? dochodzeniowy zaciekawi?y techniki rozprzestrzeniania, które by?y podobne do tych stosowanych przez zaawansowane ugrupowania APT. Poza tym atak nie pasowa? do typowego sposobu dzia?ania znanych grup cyberprzest?pczych poluj?cych na du?e pieni?dze. Równie? wyst?powanie bardzo ograniczonej liczby próbek VHD wskazywa?o na to, ?e w przypadku tej rodziny oprogramowania ransomware nie mo?na mówi? o szerokiej sprzeda?y na czarnorynkowych forach.
Drugi incydent dotycz?cy VHD da? pe?ny obraz ?a?cucha infekcji i umo?liwi? badaczom powi?zanie tego oprogramowania ransomware z ugrupowaniem Lazarus. Co najwa?niejsze, atakuj?cy wykorzystali backdoora (czyli tyln? furtk? do atakowanego systemu) stanowi?cego cz??? wieloplatformowego zestawu narz?dzi o nazwie MATA, o którym firma Kaspersky niedawno szczegó?owo informowa?a i który jest powi?zany ze wspomnianym wcze?niej ugrupowaniem ze wzgl?du na wiele podobie?stw w kodzie.
Zidentyfikowany zwi?zek wskazywa? na to, ?e ugrupowanie Lazarus sta?o za udokumentowanymi do tej pory kampaniami z wykorzystaniem oprogramowania ransomware VHD. Ponadto po raz pierwszy ustalono, ?e omawiane ugrupowanie przeprowadzi?o ataki ukierunkowane z udzia?em ransomware w celu osi?gni?cia korzy?ci finansowych, tworz?c i samodzielnie wykorzystuj?c w?asne oprogramowanie, co jest stosunkowo nietypowe w ekosystemie cyberprzest?pczym.
Wiedzieli?my, ?e ugrupowanie Lazarus zawsze by?o nastawione na korzy?ci finansowe, jednak od czasu WannaCry nie zaobserwowali?my w jego kontek?cie ?adnych ataków z wykorzystaniem oprogramowania ransomware. Fakt stosowania przez grup? Lazarus nowych ataków tego rodzaju jest niepokoj?cy. Globalne zagro?enie ze strony oprogramowania ransomware i wystarczaj?co du?e, a organizacje, które pad?y jego ofiar?, cz?sto ponosz? straty finansowe prowadz?ce nawet do bankructwa. Musimy sobie zada? pytanie, czy ataki te stanowi? odosobniony eksperyment, czy raczej nowy trend, a zatem czy firmy prywatne powinny martwi? si?, ?e padn? ofiar? cyberprzest?pców sponsorowanych przez rz?dy – komentuje Iwan Kwiatkowski, starszy badacz ds. cyberbezpiecze?stwa w zespole GreAT firmy Kaspersky. Niezale?nie od odpowiedzi na to pytanie organizacje powinny pami?ta?, ?e ochrona danych nadal jest istotna – tworzenie wyizolowanych kopii zapasowych wa?nych danych oraz zainwestowanie w skuteczn? ochron? jest absolutn? konieczno?ci?.
