Νέα στελέχη ransomware που ανακαλύφθηκαν πρόσφατα από ερευνητές, έχουν συνδεθεί με την APT38, μια ομάδα hacking που χρηματοδοτείται από τη Βόρεια Κορέα.
Δείτε επίσης: Black Basta ransomware: Δεκάδες επιθέσεις σε λίγες μόνο εβδομάδες
Η ομάδα είναι γνωστή για την ανάπτυξη καταστροφικού κακόβουλου λογισμικού στα δίκτυα των θυμάτων της κατά το τελευταίο στάδιο των επιθέσεων της, που στόχο έχει να καταστρέψει τυχόν ίχνη της δραστηριότητάς της.
Ο Christiaan Beek, επικεφαλής ερευνητής στην εταιρεία κυβερνοασφάλειας Trellix, είπε ότι οι κακόβουλοι χρήστες, έχουν χρησιμοποιήσει επίσης τις οικογένειες ransomware Beaf, PXJ, ZZZZ και ChiChi για να εκβιάσουν ορισμένα από τα θύματα.
Η σύνδεση με την ομάδα APT38, ανακαλύφθηκε κατά την ανάλυση της ομοιότητας κώδικα και τεχνουργημάτων, με το ransomware VHD, το οποίο όπως ακριβώς και το TFlower ransomware, συνδέθηκε με την ομάδα Lazarus APT από τη Βόρεια Κορέα.
Οι ερευνητές της Kaspersky και της Sygnia έκαναν τη σύνδεση αφού είδαν τα δύο στελέχη να αναπτύσσονται στα δίκτυα των θυμάτων μέσω του πλαισίου κακόβουλου λογισμικού MATA, ένα κακόβουλο εργαλείο που χρησιμοποιείται αποκλειστικά από χειριστές του Lazarus, σύμφωνα με την Kaspersky.
Δείτε ακόμα: Το Onyx ransomware δεν κρυπτογραφεί αρχεία, τα καταστρέφει
Ο Beek αποκάλυψε την Τετάρτη ότι με βάση την οπτικοποίηση του κώδικα, τα PXJ, Beaf και ZZZZ μοιράζονται έναν αξιοσημείωτο όγκο πηγαίου κώδικα και λειτουργικότητας με το VHD και το TFlower ransomware, με το Beaf και το ZZZZ να είναι σχεδόν ακριβείς κλώνοι.
«Δεν χρειάζεται να είναι κανείς ειδικός στο κακόβουλο λογισμικό για να αναγνωρίσει αμέσως ότι οι εικόνες ZZZ και BEAF Ransomware είναι σχεδόν πανομοιότυπες», είπε ο ερευνητής της Trellix.
«Γίνεται επίσης προφανές ότι τόσο το Tflower όσο και το ChiChi είναι πολύ διαφορετικά σε σύγκριση με το VHD».
Ενώ η βάση κώδικα του ChiChi έχει ελάχιστα έως καθόλου κοινά σημεία, ο Beek μπόρεσε να βρει ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου Semenov[.]akkim@protonmail[.]com χρησιμοποιήθηκε τόσο από τον ChiChi όσο και από τον ZZZZ στα μηνύματα που ζητούσαν λύτρα.
Οι επιθέσεις που χρησιμοποιούν αυτές τις οικογένειες ransomware έχουν στοχεύσει μόνο οντότητες στην Ασία-Ειρηνικό (APAC), γεγονός που καθιστά πιο δύσκολη την εύρεση των ταυτοτήτων των θυμάτων, καθώς δεν υπήρχαν συνομιλίες διαπραγμάτευσης ή ιστότοποι διαρροής προς διερεύνηση.
Δείτε επίσης: Τοποθεσίες TOR του REvil: Επιστρέφουν με νέα επιχείρηση ransomware
Η Trellix προσπάθησε επίσης να ανακαλύψει πρόσθετους συνδέσμους αναλύοντας τις μεταφορές κρυπτονομισμάτων πίσω από πληρωμές λύτρων, αλλά δεν βρήκε επικάλυψη στα πορτοφόλια κρυπτογράφησης που χρησιμοποιούνται για τη συλλογή λύτρων.
Ωστόσο, ανακάλυψαν ότι οι χάκερ από τη Βόρεια Κορέα ήταν σε θέση να συλλέξουν μόνο μικρές ποσότητες κτυπτονομισμάτων.