Er is een nieuw rapport gepubliceerd met details over de gevaarlijke VHD Ransomware waarvan wordt aangenomen dat deze is gemaakt door de Lazarus Group, een collectief uit Noord-Korea. Wat bekend is over de inbraken is dat er geavanceerde tactieken zijn gebruikt om de infecties uit te voeren.
De Lazarus-groep uit Noord-Korea bevindt zich mogelijk achter de VHD-ransomware
De VHD Ransomware waarvan bekend is dat deze wijdverspreide aanvallen op ingestelde doelen veroorzaakt. De inbraken zijn uitgevoerd met behulp van een complexe infectietechniek. Volgens het onderzoek naar de verzamelde monsters gebruiken de hackers twee verschillende methoden om de gevaarlijke ransomware te gebruiken:
- Het gebruik van het DACLS Malware Framework — De criminelen lijken een platformonafhankelijke versie of een Mac-equivalent van het Dacls-framework te hebben gebruikt. Dit was oorspronkelijk een op zichzelf staande Trojaanse malware die aanvankelijk opnieuw werd gelanceerd December 2019. De eerste grote aanvalscampagne was gericht op Chinese gebruikers en omvatte een geïnfecteerde tweefactorauthenticatiemethode genaamd MinaOTP. Met behulp van de complexe infectievolgorde kan de VHD Ransomware worden ingezet bij de geïnfecteerde slachtoffers.
- Netwerkwormbenadering — De ransomware kan ook worden ingezet door een andere malware die het interne netwerk van de doelhostcomputer is binnengedrongen.
De VHD Ransomware die in het begin werd gedetecteerd, werd in Europa verspreid. De eerste monsters die hiervan werden gedetecteerd, vertoonden geen codefragmenten die afkomstig waren van andere bekende bedreigingen. De hackers hebben er verschillende geïmplementeerd opmerkelijke kenmerken tegen het virus, een daarvan is het gebruik van de hervat de bewerking. Als de coderingsbewerkingen om de een of andere reden worden onderbroken, wordt het op een geschikt moment hervat.
De complexe infectietechniek komt overeen met de werking van de Noord-Koreaanse Lazarus Groep, zowel door het type virussen te analyseren als de manier waarop ze zich verspreiden naar de doelhosts. In een van de gedetecteerde monsters ontdekten de onderzoekers dat er een achterdeur van het netwerk is gebruikt om een verbinding met de hackgroep te openen. Ze hebben dit gebruikt om de ransomware-malware te gebruiken.
Beveiligingsonderzoekers maken ook vergelijkingen tussen de VHD Ransomware en het beruchte WannaCRy-virus - de consensus is dat VHD veel beter gecodeerd is en veel verbeteringen bevat ten opzichte van andere malware van deze generatie.