Uma possível ameaça de hackers, vindo da Coreia do Norte, está ligada a um ransomware para ataques virtuais diretamente em pequenas empresas desde setembro de 2021. A equipe do Microsoft Threat Intelligence Center está rastreando esse grupo de hackers, que se autodenominam de H0lyGh0st

O grupo utiliza uma carga útil de ransomware com o mesmo nome. Eles também utilizam o apelido de DEV-0530 para cometerem esses crimes. “Juntamente com sua carga H0lyGh0st, o DEV-0530 mantém um site que o grupo usa para interagir com suas vítimas”, disseram os pesquisadores.

O H0lyGh0st busca, principalmente, empresas de pequeno e médio porte, como organizações de manufatura, bancos, escolas e empresas de planejamento de eventos.

“A metodologia padrão do grupo é criptografar todos os arquivos no dispositivo de destino e usar a extensão de arquivo “h0lyenc”, enviar à vítima uma amostra dos arquivos como prova e exigir o pagamento em Bitcoin em troca de restaurar o acesso aos arquivos”, emendaram os analistas.

Os DEV-0530 pedem cerca de 1,2 e 5 bitcoins para as vítimas resgatarem seus dados. Porém, após uma investigação, foi possível constatar que a carteira de criptomoedas do invasor não mostrava pagamentos de resgate bem-sucedidos no início de julho de 2022.

Como parte de suas táticas de extorsão, eles também ameaçam publicar os dados das vítimas nas mídias sociais ou enviar os dados aos clientes das vítimas se eles se recusarem a pagar.

Os hackers norte-coreanos visam pequenas e médias empresas. Imagem: JARIRIYAWAT/Shutterstock

Possível colaboração de Plutônio

Acredita-se que o DEV-0530 tenha conexões com outro grupo norte-coreano conhecido como Plutônio (também chamado de DarkSeoul ou Andariel), um subgrupo operando sob o guarda-chuva Lazarus (também conhecido como Zinc ou Hidden Cobra).

Essa possível junção dos grupos DEV-0530 e Plutônio veio por algumas informações de comunicação em contas de e-mail controladas pelos dois times de invasores.

“Apesar dessas semelhanças, diferenças no ritmo operacional, direcionamento e tradecraft sugerem que o DEV-0530 e o plutônio são grupos distintos”, relatam pesquisadores. “Indivíduos com vínculos com a infraestrutura e ferramentas de plutônio podem estar fazendo trabalho clandestino para ganho pessoal. Essa teoria do trabalho clandestino pode explicar a seleção muitas vezes aleatória de vítimas visadas pelo DEV-0530.”

O grupo DEV-0530 possui um portal na dark web e lá afirma que esses esquemas são para  “preencher a lacuna entre ricos e pobres” e “ajudar os pobres e famintos”, com o propósito que obriga as vítimas a doar para causas sociais e fornecer ajuda financeira a pessoas necessitadas. Essa estratégia é baseada em um esquema de ransomware chamado GoodWill.

Estudos apontam que essas invasões podem terem se tornado mais fácil por causa de instabilidades que não foram corrigidas em sites voltados para o público e sistemas de gerenciamento de conteúdo, aproveitando a compra para descartar as cargas de ransomware e exfiltrar dados confidenciais antes de criptografar o arquivos.

Via: The Hacker News

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!