H0lyGh0st-Erkennung: Neue Ransomware im Zusammenhang mit nordkoreanischer APT

[post-views]
Juli 18, 2022 · 4 min zu lesen
H0lyGh0st-Erkennung: Neue Ransomware im Zusammenhang mit nordkoreanischer APT

Neuer Tag, der Kopfschmerz für Cyber-Verteidiger! Microsoft Threat Intelligence Center (MSTIC) berichtet von einem neuen Ransomware-Stamm, der seit Juni 2021 kleine bis mittelgroße Unternehmen weltweit angreift. Die als H0lyGh0st bezeichnete Malware wurde ursprünglich von einer aufstrebenden nordkoreanischen APT entwickelt, die unter dem Codenamen DEV-0530 verfolgt wird. Die Ransomware-Angriffe sind ausdrücklich finanziell motiviert und zielen auf Sektoren wie Fertigung, Bildung, Finanzdienstleistungen und Technologie ab.

Die Analyse der DEV-0530-Aktivitäten zeigt Verbindungen zu einem anderen von Nordkorea unterstützten Bedrohungsakteur, bekannt als Plutonium (auch Andariel genannt), einer aktiven Einheit des Lazarus-Dachverbands. Sicherheitsexperten beobachten eine aktive Kommunikation zwischen den Clustern sowie gemeinsam genutzte bösartige Werkzeuge, um die Angriffe fortzusetzen.

Erkenne H0lyGh0st

Um Verhaltensweisen zu identifizieren, die mit der H0lyGh0st-Ransomware in Verbindung stehen, verwenden Sie die folgende Bedrohungserkennungs-Inhalte, die von erfahrenen Threat-Bounty-Mitarbeitern veröffentlicht wurden Aytek Aytemur and Muhammed Hamdi Akin:

Erkennung von H0lyGh0st-Ransomware-Aktivitäten

Das Regelpaket ist mit dem MITRE ATT&CK®-Framework v.10 ausgerichtet und hat Übersetzungen für 26 SIEM-, EDR- & XDR-Plattformen.

Obwohl es sich wie eine kaputte Schallplatte anhört, wollen wir die überragende Bedeutung von rechtzeitiger Bedrohungsprävention & -erkennung betonen. Melden Sie sich kostenlos auf der Detection as Code-Plattform von SOC Prime an, um auf die relevantesten Erkennungsinhalte zur Ransomware-Bedrohung zuzugreifen, indem Sie auf den Erkennen & Jagen Button unten klicken. Um mühelos nach verwandten Bedrohungen zu suchen und sofort in kontextuelle Metadaten wie CTI- und MITRE ATT&CK-Referenzen einzutauchen, klicken Sie auf den Bedrohungskontext erkunden Button und dringen Sie mit der Suchmaschine von SOC Prime für Bedrohungserkennung, Bedrohungsjagd und CTI in relevante Suchergebnisse vor.

Erkennen & Jagen Bedrohungskontext erkunden

H0lyGh0st-Beschreibung

Laut der ausführlichen Untersuchung von MSTIC ist die H0lyGh0st Ransomware ein relativ neuer Stamm, der von der aufstrebenden DEV-0530 APT entwickelt wurde, die von der nordkoreanischen Regierung gesponsert wird. Bedrohungsakteure nutzen die Malware für finanziell motivierte Angriffe, um Mittel in ihr Land abzuziehen, indem sie weltweit zufällig kleine und mittelgroße Unternehmen auswählen.

Alle seit September 2021 beobachteten Angriffe folgen demselben Muster. Bedrohungsakteure verlassen sich auf ungepatchte Schwachstellen in kundenseitigen Webanwendungen und CMSs (wie CVE-2022-26352), um die H0lyGh0st-Ransomware abzusetzen. Dann wird H0lyGh0st verwendet, um alle Dateien auf der Zielinstanz mit der Erweiterung .h0lyenc zu verschlüsseln. Weiterhin wird dem Opfer eine Probe der Dateien zur Bestätigung des Angriffs zusammen mit der Lösegeldforderung übermittelt. Die Täter verlangen in der Regel Zahlungen in Bitcoin im Bereich von 1,2 bis 5 BTC. Die Kommunikation mit dem Opfer erfolgt über eine dedizierte .onion-Website, die auch mit Drohungen lockt, sensible Daten zu verkaufen oder zu veröffentlichen, um doppelten Erpressungsdruck auf die Opfer auszuüben. Trotzdem haben die Angriffe in letzter Zeit ihr Ziel nicht erreicht, da die Analyse der Kryptowährungs-Wallet der Täter seit Anfang Juli 2022 keine erfolgreichen Zahlungen zeigt.

Die Analyse der H0lyGh0st-Ransomware zeigt, dass im Zeitraum 2021-2022 vier Exemplare der Malware veröffentlicht wurden, um Windows-Systeme anzugreifen (TLC_C.exe, HolyRS.exe, HolyLock.exe und BLTC.exe). Während BTLC_C.exe (SiennaPurple genannt) in C++ programmiert ist, sind die restlichen Versionen (als SiennaBlue verfolgt) in Go erstellt worden, was auf Versuche zur Entwicklung plattformübergreifender Ransomware hinweist. Die neuesten Versionen kamen mit erheblichen Verbesserungen ihrer Hauptmerkmale, einschließlich Stammentarnung und der Fähigkeit, geplante Aufgaben zu löschen. Trotz des jüngsten Pechs der H0lyGh0st-Hacker in der Domäne des finanziellen Gewinns warnen Sicherheitsforscher vor ihren Aktivitäten im Dark Web.

Im Juni haben wir einige wichtige Verbesserungen für SOC Primes Threat-Bounty-Programm eingeführt. Erfahren Sie mehr über das produktivste Erkennungsinhalte-Entwicklerprogramm der Cyberwelt und sichern Sie sich einen Platz unter den Branchenführern mit SOC Prime.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen 3 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen by Veronika Telychko Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein 4 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein by Veronika Telychko BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme 5 min zu lesen Neueste Bedrohungen BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme by Veronika Telychko
Alle Nachrichten