Bir yıldan fazla bir süredir Kuzey Koreli bilgisayar korsanları, çeşitli ülkelerdeki küçük işletmelere saldıran HolyGhost adlı bir fidye yazılımı operasyonu yürütüyor.
Grup oldukça uzun bir süredir faaliyet gösteriyor, ancak operasyon aynı tarifi izlese bile diğer çetelerin ününü ve mali başarısını elde edemedi: kurbanların adını ve çalınan verileri yayınlamak için bir sızıntı sitesiyle birlikte çifte gasp.
Fırsatçı saldırılar, küçük talepler
Microsoft Tehdit İstihbarat Merkezi’ndeki (MSTIC) araştırmacılar, Holy Ghost fidye yazılımı çetesini DEV-0530 olarak izliyorlar. Bugün erken saatlerde yayınlanan bir raporda, bu tehdit aktörünün ilk yükünün geçen yıl Haziran ayında görüldüğünü söylüyorlar.
SiennaPurple (BTLC_C.exe) olarak sınıflandırılan erken dönem Holy Ghost fidye yazılımı varyantı, Ekim 2021’de ortaya çıkan Go-tabanlı sürümlere kıyasla pek fazla özellikle gelmedi.
Microsoft, daha yeni varyantları SiennaBlue (HolyRS.exe, HolyLocker.exe ve BTLC.exe) olarak izler ve işlevlerinin zamanla birden fazla şifreleme seçeneği, dize gizleme, ortak anahtar yönetimi ve internet/intranet desteği içerecek şekilde genişlediğini not eder.
Microsoft
Araştırmacılar, DEV-0530’un başta küçük ve orta ölçekli işletmeler olmak üzere çeşitli hedeflerden ödün vermeyi başardığını söylüyor. Kurbanlar arasında bankalar, okullar, üretim kuruluşları ve etkinlik ve toplantı planlama şirketleri vardı.
“Mağduroloji, bu kurbanların büyük olasılıkla fırsat hedefleri olduğunu gösteriyor. MSTIC, DEV-0530’un hedef ağlara ilk erişim sağlamak için halka açık web uygulamalarında ve içerik yönetim sistemlerinde CVE-2022-26352 (DotCMS uzaktan kod yürütme güvenlik açığı) gibi güvenlik açıklarından yararlanmış olabileceğinden şüpheleniyor” – Microsoft Tehdit İstihbarat Merkezi
Holy Ghost oyuncuları, tipik bir fidye yazılımı saldırısı modelini takip etti ve virüslü sistemlerde şifreleme rutinini dağıtmadan önce verileri çaldı.
Saldırgan, güvenliği ihlal edilen makineye bir fidye notu bıraktı ve kurbana, şifre çözme anahtarı karşılığında bir fidye için pazarlık yapmaya istekli olduklarını duyurmak için çalınan verilerin bir örneğinin bağlantısını içeren bir e-posta gönderdi.
Microsoft
Genellikle aktörler, 1,2 ila 5 bitcoin arasında veya mevcut döviz kuru üzerinden yaklaşık 100.000 dolara kadar küçük bir ödeme talep etti.
MSTIC, talepler büyük olmasa bile, saldırganın müzakere etmeye istekli olduğunu ve bazen fiyatı ilk talebin üçte birinden daha azına indirdiğini söylüyor.
Kuzey Kore ile bağlantı
Bu ayrıntı, nadiren saldırı oranı ve kurbanların rastgele seçilmesi, Kutsal Ruh fidye yazılımı operasyonunun Kuzey Kore hükümeti tarafından kontrol edilemeyebileceği teorisine katkıda bulunuyor.
Bunun yerine, Pyongyang rejimi için çalışan bilgisayar korsanları bunu kişisel mali kazanç için kendi başlarına yapıyor olabilir.
MSTIC, Kutsal Ruh’a ait e-posta hesapları ile Kuzey Kore’nin Genel Keşif Bürosu’na bağlı Lazarus Grubu’nun bir tehdit aktörü olan Andariel arasında iletişim bulduğundan, devlet destekli hacker gruplarıyla bağlantı mevcut.
Araştırmacılar, iki grup arasındaki bağlantının, her ikisinin de “aynı altyapı kümesinden çalışması ve hatta benzer adlara sahip özel kötü amaçlı yazılım denetleyicileri kullanması” gerçeğiyle daha da güçlendiğini söylüyor.
İyi niyetli biri olarak poz vermek
Holy Ghost’un web sitesi şu anda çalışmıyor, ancak saldırgan, kurbanların güvenlik durumlarını iyileştirmelerine yardımcı olmaya çalışan meşru bir varlık olarak göstermek zorunda olduğu küçük görünürlüğü kullandı.
Ayrıca, eylemlerini “zengin ve fakir arasındaki uçurumu kapatmak” ve “fakirlere ve aç insanlara yardım etmek” için motive ederler.
Microsoft
Fidye yazılımı işindeki diğer aktörler gibi, Kutsal Ruh da kurbanlara, ödeme almaları durumunda çalınan verileri satmayacaklarını veya sızdırmayacaklarını garanti eder.
Microsoft’un bildiri Holy Ghost yüklerinin bulaşmasını önlemek için bir dizi önerilen eylemin yanı sıra kötü amaçlı yazılım araştırılırken keşfedilen bazı güvenlik ihlali göstergelerini içerir.