HolyGhost Ransomware bedroht kleine Unternehmen

Eine aus Nordkorea stammende Gruppe von Hackern, die vom Microsoft Threat Intelligence Center (MSTIC) als DEV-0530 bezeichnet wird, entwickelt und verwendet seit Juni 2021 Ransomware für Angriffe. Diese Gruppe, die sich selbst H0lyGh0st nennt, verwendet eine Ransomware-Nutzlast mit dem gleichen Namen für ihre Kampagnen und hat bereits im September 2021 erfolgreich kleine Unternehmen in mehreren Ländern kompromittiert.

Zusammen mit der H0lyGh0st-Nutzlast unterhält DEV-0530 eine .onion-Website, die die Gruppe zur Interaktion mit ihren Opfern nutzt. Die Standardmethode der Gruppe besteht darin, alle Dateien auf dem Zielgerät zu verschlüsseln und die Dateierweiterung .h0lyenc zu verwenden, dem Opfer eine Probe der Dateien als Beweis zu senden und dann eine Zahlung in Bitcoin im Austausch für die Wiederherstellung des Zugriffs auf die Dateien zu verlangen.

Als Teil ihrer Erpressungstaktik drohen sie auch damit, die Daten der Opfer in den sozialen Medien zu veröffentlichen oder sie an die Kunden der Opfer zu senden, falls diese sich weigern zu zahlen. Dieser Blog soll einen Teil der MSTIC-Analyse der DEV-0530-Taktik wiedergeben, die Schutzmaßnahmen vorstellen, die Microsoft in seinen Sicherheitsprodukten implementiert hat, und Erkenntnisse über DEV-0530 und H0lyGh0st-Ransomware mit der breiteren Sicherheitsgemeinschaft teilen, um gemeinsame Kunden zu schützen.

MSTIC geht davon aus, dass DEV-0530 Verbindungen zu einer anderen Gruppe mit Sitz in Nordkorea hat, die als PLUTONIUM (auch bekannt als DarkSeoul oder Andariel) bezeichnet wird. Während die Verwendung von H0lyGh0st-Ransomware in Kampagnen nur DEV-0530 bekannt ist, hat MSTIC die Kommunikation zwischen den beiden Gruppen sowie die Verwendung von Tools durch DEV-0530 beobachtet, die ausschließlich von PLUTONIUM entwickelt wurden.

Auf der Grundlage von geopolitischen Beobachtungen globaler Experten für nordkoreanische Angelegenheiten und von Indizienbeobachtungen gehen Microsoft-Analysten davon aus, dass die Verwendung von Ransomware durch in Nordkorea ansässige Akteure wahrscheinlich durch zwei mögliche Ziele motiviert ist.

Die erste Möglichkeit ist, dass die nordkoreanische Regierung diese Aktivitäten fördert. Die geschwächte nordkoreanische Wirtschaft ist seit 2016 aufgrund von Sanktionen, Naturkatastrophen, Dürre und der COVID-19-Abriegelung der nordkoreanischen Regierung von der Außenwelt seit Anfang 2020 immer schwächer geworden. Um die Verluste aus diesen wirtschaftlichen Rückschlägen auszugleichen, könnte die nordkoreanische Regierung Cyber-Akteure gesponsert haben, die seit mehr als fünf Jahren Banken und Kryptowährungs-Wallets ausrauben. Wenn die nordkoreanische Regierung diese Ransomware-Angriffe in Auftrag gibt, wären die Angriffe eine weitere Taktik, die die Regierung zum Ausgleich finanzieller Verluste eingesetzt hat.

Staatlich gesponserte Aktivitäten gegen Kryptowährungsorganisationen zielen jedoch in der Regel auf eine viel breitere Gruppe von Opfern ab als in der DEV-0530-Viktimologie beobachtet. Aus diesem Grund ist es ebenso möglich, dass die nordkoreanische Regierung diese Ransomware-Angriffe nicht ermöglicht oder unterstützt. Personen, die Verbindungen zur PLUTONIUM-Infrastruktur und -Tools haben, könnten diese Angriffe als Schwarzarbeit betreiben, um sich persönlich zu bereichern. Diese Theorie könnte die oft zufällige Auswahl der von DEV-0530 angegriffenen Opfer erklären.

Auch wenn Microsoft keine Gewissheit über die Beweggründe von DEV-0530 haben kann, machen die Auswirkungen dieser Ransomware-Angriffe auf Kunden deutlich, wie wichtig es ist, die zugrunde liegenden Taktiken und Techniken aufzudecken, Angriffe in Sicherheitsprodukten zu erkennen und zu verhindern und Wissen mit dem Sicherheits-Ökosystem zu teilen.