Detección de H0lyGh0st: Nuevo Ransomware Vinculado a APT de Corea del Norte

[post-views]
julio 18, 2022 · 4 min de lectura
Detección de H0lyGh0st: Nuevo Ransomware Vinculado a APT de Corea del Norte

¡Nuevo día, el dolor de cabeza para los defensores cibernéticos! Microsoft Threat Intelligence Center (MSTIC) informa sobre una nueva cepa de ransomware que ataca a pequeñas y medianas empresas de todo el mundo desde junio de 2021. Apodado H0lyGh0st, el malware ha sido desarrollado inicialmente por un APT emergente de Corea del Norte rastreado bajo el seudónimo DEV-0530. Los ataques de ransomware tienen una motivación explícitamente financiera, apuntando a sectores como la manufactura, la educación, los servicios financieros y la tecnología.

El análisis de la actividad de DEV-0530 revela los vínculos con otro actor de amenaza respaldado por Corea del Norte conocido como Plutonium (también conocido como Andariel), una unidad activa bajo el paraguas de Lazarus. Los expertos en seguridad observan comunicación activa entre los grupos, así como herramientas maliciosas compartidas para llevar a cabo los ataques.

Detecta H0lyGh0st

Para identificar comportamientos asociados con el ransomware H0lyGh0st, utilice el siguiente contenido de detección de amenazas publicado por contribuyentes expertos de Threat Bounty Aytek Aytemur and Muhammed Hamdi Akin:

Detección de Actividad de Ransomware H0lyGh0st

El kit de reglas está alineado con el marco de trabajo MITRE ATT&CK® v.10 y tiene traducciones para 26 plataformas SIEM, EDR y XDR.

A riesgo de sonar como un disco rayado, queremos enfatizar la importancia primordial de la prevención y detección de amenazas a tiempo. Regístrese gratis en la plataforma Detection as Code de SOC Prime para acceder al contenido de detección más relevante sobre la amenaza del ransomware haciendo clic en el Detectar & Buscar botón abajo. Para buscar sin esfuerzo amenazas relacionadas e indagar instantáneamente en los metadatos contextuales, como referencias CTI y MITRE ATT&CK, haga clic en el Explorar el Contexto de Amenaza botón y profundice en los resultados de búsqueda relevantes utilizando el motor de búsqueda de SOC Prime para Detección de Amenazas, Caza de Amenazas y CTI.

Detectar & Buscar Explorar el Contexto de Amenaza

Descripción de H0lyGh0st

Según la investigación de MSTIC, el ransomware H0lyGh0st es una cepa relativamente nueva desarrollada por el emergente APT DEV-0530 patrocinado por el gobierno de Corea del Norte. Los actores de amenaza utilizan el malware para ataques con motivación financiera para desviar fondos a su país, eligiendo aleatoriamente pequeñas y medianas empresas de todo el mundo.

Todos los ataques observados desde septiembre de 2021 siguen el mismo patrón. Los actores de amenaza dependen de vulnerabilidades sin parches en aplicaciones web orientadas al cliente y CMS (como CVE-2022-26352) para implementar el ransomware H0lyGh0st. Luego, H0lyGh0st se usa para cifrar todos los archivos en la instancia objetivo utilizando la extensión .h0lyenc. Además, se envía al objetivo una muestra de los archivos para probar el ataque junto con la nota de rescate. Los actores de amenaza suelen demandar pagos en Bitcoin que oscilan entre 1.2 y 5 BTC. La comunicación con la víctima se organiza a través de un sitio web dedicado .onion, que también muestra amenazas de vender o publicar datos sensibles para poner una presión de doble extorsión sobre las víctimas. Sin embargo, últimamente, los ataques no están alcanzando el objetivo ya que el análisis de la billetera de criptomonedas del actor muestra que no ha habido pagos exitosos desde principios de julio de 2022.

El análisis del ransomware H0lyGh0st revela que en el periodo de 2021-2022, los atacantes liberaron cuatro muestras del malware para apuntar a sistemas Windows (TLC_C.exe, HolyRS.exe, HolyLock.exe y BLTC.exe). Mientras que BTLC_C.exe (apodado SiennaPurple) está programado en C++, el resto de versiones (rastreadas como SiennaBlue) están hechas en Go, apuntando a intentos de desarrollo de ransomware multiplataforma. Las últimas versiones vinieron con mejoras significativas a sus características clave, incluyendo la ofuscación de cepas y habilidades para eliminar tareas programadas. A pesar de la última falta de suerte de los hackers de H0lyGh0st en el dominio de ganancia financiera, los investigadores de seguridad advierten sobre sus actividades en la web oscura.

En junio, presentamos algunas mejoras significativas al Programa de Recompensas por Amenazas de SOC Prime. Aprende más sobre el programa de desarrolladores de contenido de detección más prolíficos del mundo cibernético y asegure su lugar entre los líderes de la industria con SOC Prime.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix 4 min de lectura Últimas Amenazas Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix by Veronika Telychko Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix 4 min de lectura Últimas Amenazas Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix by Veronika Telychko Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux 5 min de lectura Últimas Amenazas Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux by Veronika Telychko
Todas las noticias