Le fabricant d'antivirus Kaspersky a déclaré aujourd'hui dans un rapport que des pirates informatiques associés au régime nord-coréen sont à l'origine d'une nouvelle souche de ransomware connue sous le nom de VHD.
Le rapport détaille deux incidents dont Kaspersky a été informé, au cours desquels des intrus ont eu accès aux réseaux d'entreprises et ont déployé le ransomware VHD.
Les experts de Kaspersky affirment que les outils et techniques utilisées lors des deux intrusions lient les attaquants au groupe Lazarus - un nom générique donné aux pirates informatiques travaillant pour le régime de Pyongyang.
Les outils et techniques en question comprennent :
- l'utilisation du framework de malwares MATA (Dacls) pour déployer VHD en tant que charge utile finale
- l'utilisation de techniques pour se déplacer à travers le réseau interne d'une victime qui a été précédemment observée dans les campagnes attribuées à Lazarus
"Les données dont nous disposons tendent à indiquer que le ransomware VHD n'est pas un ransomware standard; et pour autant que nous le sachions, le groupe Lazarus est le seul propriétaire du framework MATA. Par conséquent, nous concluons que le ransomware VHD est également détenu et exploité par Lazarus », ont déclaré les chercheurs de Kaspersky.
Une conclusion cohérente
Ce que Kaspersky a découvert ici semble cohérent avec les autres rapports publiés sur l’écosystème du piratage nord-coréen.
Sur la base de rapports antérieurs publiés au cours des quatre dernières années, les pirates informatiques nord-coréens sont généralement divisés en deux catégories - (1) ceux qui se livrent au cyberespionnage à des fins de renseignement et (2) ceux qui se livrent à la criminalité financière, visant à lever des fonds pour le gouvernement de Pyongyang. Selon le Trésor américain, ces sommes sont utilisées
Les attaques VHD sont, sans aucun doute, l'œuvre du deuxième groupe, qui cherche à extorquer de l'argent aux organisations piratées.
Certaines des autres activités de collecte de fonds de ce groupe comprennent le piratage de banques, , l'orchestration d’attaques de « jackpotting » contre des distributeurs automatiques, l'exécution de botnets de cryptominage et même la participation à () pour voler des données de carte bancaire et les revendre.
Les pirates informatiques de Lazarus sont également connus pour pénétrer dans les réseaux d'entreprise, voler des données, puis pour ne pas publier leurs données en ligne.
Voir des pirates nord-coréens se livrer à des attaques de ransomware n'est pas surprenant, car les attaques de ransomware font partie des opérations de cybercriminalité les plus rentables d'aujourd'hui.
Les agences de renseignement occidentales qui s'est répandu avec virulence à travers le monde en mai 2017.
La différence entre VHD et WannaCry réside dans le fait que VHD est mieux codé et que les opérateurs de Lazarus semblent ne le déployer qu'avec parcimonie. Le groupe vise principalement les réseaux d'entreprises de haut niveau, afin d’exiger d'énormes rançons pour décrypter les données. Cette tactique est connue aujourd'hui sous le nom de «big game hunting» (Chasse au gros gibier, NDLR ).
Source :
Aucun commentaire:
Enregistrer un commentaire