Es wurde ein neuer Bericht veröffentlicht, der Details über die gefährliche VHD-Ransomware enthüllt, von der angenommen wird, dass sie von der Lazarus-Gruppe erstellt wurde, ein Kollektiv aus Nordkorea. Was über die Eingriffe bekannt ist, ist, dass fortgeschrittene Taktiken angewendet wurden, um die Infektionen durchzuführen.
Die Lazarus-Gruppe aus Nordkorea ist möglicherweise diejenige hinter der VHD-Ransomware
Die VHD-Ransomware, von der bekannt ist, dass sie weit verbreitete Angriffe auf festgelegte Ziele verursacht. Die Intrusionen wurden unter Verwendung einer komplexen Infektionstechnik durchgeführt. Nach den an den gesammelten Proben durchgeführten Untersuchungen verwenden die Hacker zwei unterschiedliche Methoden, um die gefährliche Ransomware einzusetzen:
- Die Verwendung des DACLS Malware Framework — Die Kriminellen scheinen eine plattformübergreifende Version oder ein Mac-Äquivalent des Dacls-Frameworks verwendet zu haben. Dies war ursprünglich eine eigenständige Trojaner-Malware, die ursprünglich in gestartet wurde Dezember 2019. Die erste große Angriffskampagne konzentrierte sich auf chinesische Benutzer und beinhaltete eine infizierte Zwei-Faktor-Authentifizierungsmethode namens MinaOTP. Mithilfe der komplexen Infektionssequenz kann die VHD-Ransomware für die infizierten Opfer bereitgestellt werden.
- Netzwerkwurm-Ansatz — Die Ransomware kann auch von einer anderen Malware bereitgestellt werden, die in das interne Netzwerk des Zielhostcomputers eingedrungen ist.
Die eingangs entdeckte VHD-Ransomware wurde in Europa verbreitet. Die ersten Beispiele, die davon entdeckt wurden, zeigten keine Codefragmente, die von anderen bekannten Bedrohungen stammen. Die Hacker haben mehrere implementiert bemerkenswerte Merkmale zum Virus, Eine davon ist die Verwendung der Betrieb wieder aufnehmen. Wenn die Verschlüsselungsvorgänge aus irgendeinem Grund unterbrochen werden, funktioniert sie zu einem geeigneten Zeitpunkt wieder.
Die komplexe Infektionstechnik entspricht der Arbeitsweise der nordkoreanischen Lazarus-Gruppe, indem sowohl die Art der Viren als auch die Art und Weise, wie sie sich auf die Zielwirte ausbreiten, analysiert werden. In einem der entdeckten Beispiele haben die Forscher herausgefunden, dass eine Netzwerk-Hintertür verwendet wurde, um eine Verbindung zur Hacking-Gruppe herzustellen. Sie haben dies verwendet, um die Ransomware-Malware bereitzustellen.
Sicherheitsforscher führen auch Vergleiche zwischen der VHD-Ransomware und dem berüchtigten WannaCRy-Virus durch - der Konsens ist, dass VHD viel besser codiert ist und viele Verbesserungen gegenüber anderer Malware dieser Generation enthält.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: