มัลแวร์เรียกค่าไถ่ตัวใหม่ H0lyGh0st เชื่อมโยงกับแฮ็กเกอร์ชาวเกาหลีเหนือ

นักวิจัยได้เชื่อมโยงแรนซัมแวร์ตัวใหม่ที่ถูกพบกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีแรงจูงใจทางด้านการเงิน โดยเริ่มปฏิบัติการมาตั้งแต่ปีที่ผ่านมา

กลุ่ม H0lyGh0st ถูกติดตามโดยนักวิจัยจาก Microsoft Threat Intelligence Center (MSTIC) ในชื่อ DEV-0530 โดยกลุ่มดังกล่าวได้พัฒนา และใช้แรนซัมแวร์ในการโจมตีมาตั้งแต่เดือนมิถุนายน 2564 โดยประสบความสำเร็จในการโจมตีธุรกิจขนาดเล็กถึงขนาดกลางในหลายประเทศมาตั้งแต่เดือนกันยายน 2564

นักวิจัยพบว่า H0lyGh0st มีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ในเกาหลีเหนือที่ชื่อ PLUTONIUM หรือที่เรียกว่า DarkSeoul หรือ Andariel โดยสังเกตได้จากการสื่อสารระหว่างทั้งสองกลุ่ม และ H0lyGh0st มีการใช้เครื่องมือที่สร้างขึ้นโดยกลุ่ม PLUTONIUM

กลุ่ม H0lyGh0st โจมตีโดยใช้แรนซัมแวร์เข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์เป้าหมาย โดยใช้นามสกุลไฟล์ .h0lyenc จากนั้นจะส่งตัวอย่างไฟล์ไปให้เหยื่อเพื่อเป็นหลักฐาน โดยปกติกลุ่มจะเรียกร้องการชำระเงินเป็น Bitcoin เพื่อแลกกับการกู้คืนไฟล์ และมีการขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมาบนโซเชียลมีเดีย หรือส่งไปยังลูกค้าของเหยื่อหากพวกเขาไม่ยอมจ่ายค่าไถ่

นักวิจัยระบุมัลแวร์ 4 ตัวที่เชื่อมโยงกับกลุ่มนี้คือ BTLC_C.exe, HolyRS.exe, HolyLock.