มัลแวร์เรียกค่าไถ่ตัวใหม่ H0lyGh0st เชื่อมโยงกับแฮ็กเกอร์ชาวเกาหลีเหนือ
นักวิจัยได้เชื่อมโยงแรนซัมแวร์ตัวใหม่ที่ถูกพบกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีแรงจูงใจทางด้านการเงิน โดยเริ่มปฏิบัติการมาตั้งแต่ปีที่ผ่านมา
กลุ่ม H0lyGh0st ถูกติดตามโดยนักวิจัยจาก Microsoft Threat Intelligence Center (MSTIC) ในชื่อ DEV-0530 โดยกลุ่มดังกล่าวได้พัฒนา และใช้แรนซัมแวร์ในการโจมตีมาตั้งแต่เดือนมิถุนายน 2564 โดยประสบความสำเร็จในการโจมตีธุรกิจขนาดเล็กถึงขนาดกลางในหลายประเทศมาตั้งแต่เดือนกันยายน 2564
นักวิจัยพบว่า H0lyGh0st มีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ในเกาหลีเหนือที่ชื่อ PLUTONIUM หรือที่เรียกว่า DarkSeoul หรือ Andariel โดยสังเกตได้จากการสื่อสารระหว่างทั้งสองกลุ่ม และ H0lyGh0st มีการใช้เครื่องมือที่สร้างขึ้นโดยกลุ่ม PLUTONIUM
กลุ่ม H0lyGh0st โจมตีโดยใช้แรนซัมแวร์เข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์เป้าหมาย โดยใช้นามสกุลไฟล์ .h0lyenc จากนั้นจะส่งตัวอย่างไฟล์ไปให้เหยื่อเพื่อเป็นหลักฐาน โดยปกติกลุ่มจะเรียกร้องการชำระเงินเป็น Bitcoin เพื่อแลกกับการกู้คืนไฟล์ และมีการขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมาบนโซเชียลมีเดีย หรือส่งไปยังลูกค้าของเหยื่อหากพวกเขาไม่ยอมจ่ายค่าไถ่
นักวิจัยระบุมัลแวร์ 4 ตัวที่เชื่อมโยงกับกลุ่มนี้คือ BTLC_C.exe, HolyRS.exe, HolyLock.exe และ BLTC.exe โดย BTLC_C.exe เขียนด้วย C++ ในขณะที่เหลือเขียนด้วยภาษา Go ซึ่งทั้งหมดถูกคอมไพล์เป็น .exe เพื่อกำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows
โดย BLTC_C.exe เป็นแรนซัมแวร์ที่ถูกพบครั้งแรกในเดือนมิถุนายน 2564 ซึ่งอาจเป็นเวอร์ชันแรกๆในการพัฒนา เนื่องจากไม่มีฟีเจอร์มากมายเมื่อเทียบกับมัลแวร์ตัวอื่นๆ
ต่อมาระหว่างเดือนตุลาคม 2564 ถึงพฤษภาคม 2565 นักวิจัยได้สังเกตเห็นแรนซัมแวร์ใหม่ที่เขียนในภาษา Go แม้ว่าฟังก์ชันใหม่จะถูกเพิ่มเข้ามาเมื่อเวลาผ่านไป แต่แรนซัมแวร์ทั้งหมดมีฟังก์ชัน หลักเหมือนกัน เช่น การเข้ารหัสที่หลากหลาย การถอดรหัสสตริง การจัดการ Public key
แรนซัมแวร์ล่าสุดที่ถูกใช้คือ BTLC.exe ซึ่งพบตั้งแต่เดือนเมษายน 2565 โดยสามารถกำหนดค่าให้เชื่อมต่อกับ Network share โดยใช้ default Username และ Password และ URL อินทราเน็ตซึ่งฮาร์ดโค้ดไว้ในมัลแวร์ ในกรณีที่ ServerBaseURL ไม่สามารถเข้าถึงได้จากอุปกรณ์ของเหยื่อ
มัลแวร์ยังมีกลไกการแฝงตัวอยู่บนระบบ ด้วยการสร้าง หรือลบ scheduled task ที่ชื่อว่า Lockertask ซึ่งใช้สั่งการแรนซัมแวร์ เมื่อมัลแวร์ทำงานได้สำเร็จ มันจะพยายามเชื่อมต่อกับ ServerBaseURL ที่ถูกฮาร์ดโค้ดไว้ในมัลแวร์ จากนั้นจะพยายามอัปโหลด Public key ไปยังเซิร์ฟเวอร์ C2 และเข้ารหัสไฟล์ทั้งหมดในไดรฟ์ของเหยื่อ
ที่มา: threatpost
You must be logged in to post a comment.