Certaines des souches de rançongiciels les plus dangereuses ont maintenant

Holy Ghost, un opérateur de ransomware moins connu (ouvre dans un nouvel onglet), est probablement géré par des pirates nord-coréens, a déclaré Microsoft.

Le Threat Intelligence Center (MSTIC) de la société suit la variante du logiciel malveillant (ouvre dans un nouvel onglet) depuis plus d'un an et a trouvé de nombreuses preuves que les Nord-Coréens sont derrière l'opération.

Bien que le groupe semble être lié au gouvernement du pays, il semble qu'il ne s'agisse pas de salariés, mais plutôt d'un groupe motivé financièrement qui coopère parfois avec le gouvernement.

MO typique

MSTIC dit que le groupe existe depuis un certain temps, mais n'est pas devenu aussi grand ou populaire que d'autres acteurs majeurs, comme BlackCat, REvil ou d'autres.

Il a le même mode opératoire : trouver une faille dans les systèmes de la cible (Microsoft a surpris le groupe en train d'abuser de CVE-2022-26352), se déplacer latéralement dans le réseau, cartographier tous les endpoints, divulguer des données sensibles, déployer un ransomware (auparavant, le groupe utilisait SiennaPurple, puis mis à niveau vers une version améliorée de SiennaBlue), demande alors le paiement d'une rançon pour la clé de déchiffrement et la promesse que les données ne seront pas divulguées ou vendues sur le marché noir.

Le groupe ciblerait normalement les banques, les écoles, les organisations manufacturières et les sociétés de gestion d'événements.

Quant au paiement, le groupe exigerait entre 1,2 et 5 bitcoins, soit entre 30.000 100.000 $ et XNUMX XNUMX $, aux prix actuels. Cependant, même si ces demandes sont relativement faibles par rapport aux autres opérateurs de rançongiciels, Holy Ghost était toujours disposé à négocier et à réduire davantage le prix, n'obtenant parfois qu'un tiers de ce qu'il avait initialement demandé.

Bien que des éléments tels que la fréquence des attaques ou le choix de la cible aient amené les chercheurs à croire que Holy Ghost n'est pas un acteur parrainé par l'État, il existe des liens avec le gouvernement. Microsoft a découvert que le groupe communiquait avec le groupe Lazarus, qui est un acteur bien connu parrainé par l'État. De plus, les deux groupes "opéraient à partir du même ensemble de frameworks et utilisaient même des vérificateurs de logiciels malveillants personnalisés portant le même nom".

Via : BleepingComputer (Ouvre dans un nouvel onglet)

Share