Компания Microsoft рассказала о новой хакерской группе H0lyGh0st, которую отслеживает под идентификатором DEV-0530. Около полугода эти злоумышленники проводят вымогательские атаки на малый и средний бизнес в разных странах мира.

Специалисты Microsoft Threat Intelligence Center (MSTIC) рассказывают, что впервые пейлоады H0lyGh0st были обнаружены в июне 2021 года. Так, ранний вариант одноименной вымогательской малвари отслеживался как SiennaPurple (BTLC_C.exe) и не имел многих функций, которыми теперь обладают более новые версии вредоноса, написанные Go и появившиеся в октябре 2021 года.

Исследователи говорят, что новые варианты SiennaBlue (HolyRS.exe, HolyLocker.exe и BTLC.exe) имеют более широкие функциональные возможности, включая поддержку нескольких вариантов шифрования, обфускацию, управление открытыми ключами и поддержку интернета/интранета.

«DEV-0530 могла использовать такие уязвимости, как CVE-2022-26352 (уязвимость удаленного выполнения кода DotCMS) в общедоступных веб-приложениях и CMS, чтобы получить первоначальный доступ к целевым сетям», — говорят аналитики.

К настоящему моменту группировке уже удалось скомпрометировать несколько целей, в основном в сферах малого и среднего бизнеса. Среди жертв злоумышленников были банки, школы, производственные предприятия, а также компании по планированию мероприятий и встреч.

После взлома атакующие обычно требуют от жертв сравнительно небольшой выкуп: от 1,2 до 5 биткоинов (до 100 000 долларов США по текущему курсу). Более того, злоумышленники готовы вести переговоры с пострадавшими и иногда снижают размер выкупа до трети от первоначальной суммы.

Эксперты MSTIC полагают, что группа H0lyGh0st связана с Северной Кореей, так как они обнаружили связь между email-аккаунтами, принадлежащими H0lyGh0st, и хакерам из Andariel, подразделения небезызвестной группировки Lazarus. Также на связь между группами указывает тот факт, что обе «работают с одной и той же инфраструктурой и даже использовали кастомные контроллеры малвари с похожими именами».

В настоящее время сайт H0lyGh0st недоступен, но ранее с его помощью злоумышленники пытались выдать себя за обычную организацию, которая якобы стремится помочь жертвам повысить уровень безопасности. Также хакеры объясняли свои действия стремлением «сократить разрыв между богатыми и бедными» и «помочь бедным и голодающим».

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии