È stato pubblicato un nuovo rapporto che rivela dettagli sul pericoloso VHD Ransomware che si ritiene sia stato creato dal Gruppo Lazarus, un collettivo dalla Corea del Nord. Ciò che si sa delle intrusioni è che sono state utilizzate tattiche avanzate per effettuare le infezioni.
Il gruppo Lazarus dalla Corea del Nord potrebbe essere quello dietro al VHD Ransomware
Il VHD Ransomware che è stato conosciuto per causare attacchi diffusi contro obiettivi prefissati. Le intrusioni sono state eseguite utilizzando una complessa tecnica di infezione. Secondo la ricerca fatta sui campioni raccolti, gli hacker stanno usando due metodi distinti per distribuire il pericoloso ransomware:
- L'uso di DACLS Malware Framework — I criminali sembrano aver utilizzato una versione multipiattaforma o un equivalente Mac del framework Dacls. In origine si trattava di un malware Trojan autonomo che è stato inizialmente lanciato nuovamente Dicembre 2019. La prima grande campagna di attacco focalizzata sugli utenti cinesi e includeva un metodo di autenticazione a due fattori infetto chiamato MinaOTP. Utilizzando la complessa sequenza di infezione, il VHD Ransomware può essere distribuito alle vittime infette.
- Approccio worm di rete — Il ransomware può anche essere distribuito da un altro malware che è penetrato nella rete interna del computer host di destinazione.
Il VHD Ransomware che è stato rilevato all'inizio è stato diffuso in Europa. I primi campioni che ne sono stati rilevati non hanno mostrato alcun frammento di codice prelevato da altre minacce note. Gli hacker ne hanno implementati diversi caratteristiche degne di nota al virus, uno dei quali è l'uso di riprendere l'operazione. Se le operazioni di crittografia vengono interrotte per qualche motivo, in un momento opportuno riprenderà a funzionare.
La complessa tecnica di infezione corrisponde al funzionamento del gruppo nordcoreano Lazarus sia analizzando il tipo di virus che il modo in cui si propagano agli ospiti target. In uno dei campioni rilevati i ricercatori hanno scoperto che una backdoor di rete è stata utilizzata per aprire una connessione al gruppo di hacking. Lo hanno usato per distribuire il malware ransomware.
I ricercatori della sicurezza stanno anche effettuando confronti tra il VHD Ransomware e il famigerato virus WannaCRy - il consenso è che il disco rigido virtuale è molto meglio codificato e include molti miglioramenti rispetto ad altri malware di questa generazione.