Банда H0lyGh0st выдает себя за Робин Гуда из Северной Кореи

Уже более года северокорейские хакеры проводят вымогательскую кампанию H0lyGh0st , атакуя малый бизнес в разных странах. Исследователи Microsoft Threat Intelligence Center (MSTIC) отслеживают группировку H0lyGh0st как DEV-0530 . Согласно отчету, первая атака группы была замечена в июне 2021 года.

В октябре 2021 Microsoft обнаружила новые варианты программы под названием SiennaBlue (HolyRS.exe, HolyLocker.exe и BTLC.exe) и отметила, что функции программы включают несколько вариантов шифрования, обфускацию строк, управление открытыми ключами и поддержку Интернета/Интранета.

DEV-0530 атаковали несколько целей, в основном малый и средний бизнес. Среди жертв были банки, школы, производственные организации и компании по планированию мероприятий и встреч.

«MSTIC подозревает, что группа DEV-0530 могла использовать уязвимость CVE-2022-26352 (RCE-уязвимость в dotCMS) в общедоступных веб-приложениях и CMS, чтобы получить первоначальный доступ к целевым сетям», — заявила Microsoft Threat Intelligence Center.

Участники H0lyGh0st следовали стандартной схеме вымогательской атаки и похищали данные до того, как зашифруют их. Злоумышленник оставлял записку с требованием выкупа на взломанной машине, а также отправлял жертве по электронной почте ссылку на образец украденных данных, чтобы объявить, что он готов договориться о выкупе в обмен на ключ дешифрования .

Обычно группа требовала небольшой выкуп от 1,2 до 5 BTC или до $100 000. По словам MSTIC, даже если сумма выкупа была небольшой, злоумышленник был готов вести переговоры и иногда снижал цену до менее 30%.

Редкость атак и случайный выбор жертв дополняют предположения экспертов о том, что H0lyGh0st не следует интересам правительства Северной Кореи. Возможно, хакеры работают на режим Пхеньяна по собственной инициативе для личной финансовой выгоды. Однако, связь H0lyGh0st с правительственными хакерами всё-таки присутствует, поскольку MSTIC обнаружил связь между учетными записями электронной почты, принадлежащими H0lyGh0st и Andariel, участнику известной северокорейской группировки Lazarus .

Обе группы «действовали с одной и той же инфраструктурой и даже использовали специальные контроллеры вредоносных программ с похожими именами», — сказали исследователи.

Веб-сайт H0lyGh0st в данный момент недоступен, но группа пользуется малой известностью и выдает себя за законную ИБ-компанию, пытаясь помочь жертвам повысить уровень безопасности. Кроме того, они мотивируют свои действия стремлением «сократить разрыв между богатыми и бедными» и «помочь бедным и голодающим».

Как и другие вымогатели, H0lyGh0st заверяет жертв, что они не будут продавать или раскрывать украденные данные при уплате выкупа. Отчет Microsoft также содержит рекомендации для предотвращения атаки H0lyGh0st и некоторые индикаторы компрометации, обнаруженные при исследовании вредоносного ПО.