Un nouveau rapport a été publié, révélant des détails sur le dangereux Ransomware VHD qui aurait été créé par le groupe Lazarus, un collectif de Corée du Nord. Ce que l'on sait des intrusions, c'est que des tactiques avancées ont été utilisées pour mener à bien les infections.
Le groupe Lazarus de Corée du Nord est peut-être celui derrière le ransomware VHD
Le Ransomware VHD qui est connu pour provoquer des attaques généralisées contre des cibles définies. Les intrusions ont été réalisées à l'aide d'une technique d'infection complexe. Selon les recherches effectuées sur les échantillons collectés, les pirates utilisent deux méthodes distinctes pour déployer le dangereux ransomware:
- L'utilisation du framework de logiciels malveillants DACLS — Les criminels semblent avoir utilisé une version multiplateforme ou un équivalent Mac du framework Dacls. Il s'agissait à l'origine d'un malware cheval de Troie autonome qui a été initialement lancé Décembre 2019. La première campagne d'attaque majeure s'est concentrée sur les utilisateurs chinois et comprenait une méthode d'authentification à deux facteurs infectée appelée MinaOTP.. En utilisant la séquence d'infection complexe, le VHD Ransomware peut être déployé sur les victimes infectées.
- Approche du ver de réseau — Le ransomware peut également être déployé par un autre malware qui a pénétré le réseau interne de l'ordinateur hôte cible.
Le Ransomware VHD qui a été détecté au début s'est répandu en Europe. Les premiers échantillons qui en ont été détectés ne montraient aucun extrait de code provenant d'autres menaces bien connues. Les hackers ont implémenté plusieurs caractéristiques remarquables au virus, dont l'un est l'utilisation du reprendre l'opération. Si les opérations de chiffrement sont interrompues pour une raison quelconque, à un moment opportun, il reprendra son travail.
La technique d'infection complexe correspond au fonctionnement du groupe nord-coréen Lazarus à la fois en analysant le type de virus et la façon dont ils se propagent vers les hôtes cibles. Dans l'un des échantillons détectés, les chercheurs ont découvert qu'une porte dérobée du réseau a été utilisée pour ouvrir une connexion avec le groupe de piratage.. Ils l'ont utilisé pour déployer le malware ransomware.
Les chercheurs en sécurité font également des comparaisons entre le VHD Ransomware et le tristement célèbre virus WannaCRy - le consensus est que VHD est bien mieux codé et comprend de nombreuses améliorations par rapport aux autres logiciels malveillants de cette génération..
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: