Détection de H0lyGh0st : Nouveau Ransomware Lié à un APT Nord-Coréen
Table des matières :
Nouveau jour, le casse-tête pour les cyber-défenseurs ! Microsoft Threat Intelligence Center (MSTIC) rapporte une nouvelle souche de ransomware attaquant des petites à moyennes entreprises à travers le monde depuis juin 2021. Surnommé H0lyGh0st, le malware a été initialement développé par un APT nord-coréen émergent suivi sous le nom de DEV-0530. Les attaques de ransomware sont explicitement motivées financièrement, ciblant des secteurs comme la fabrication, l’éducation, les services financiers et la technologie.
L’analyse de l’activité de DEV-0530 révèle des liens avec un autre acteur de menace soutenu par la Corée du Nord connu sous le nom de Plutonium (alias Andariel), une unité active de l’ombrelle Lazarus. Les experts en sécurité observent des communications actives entre les clusters ainsi que des outils malveillants partagés pour procéder aux attaques.
Détecter H0lyGh0st
Pour identifier les comportements associés au ransomware H0lyGh0st, utilisez le contenu de détection de menaces suivant publié par des contributeurs chevronnés de Threat Bounty Aytek Aytemur and Muhammed Hamdi Akin:
Détection de l’activité du ransomware H0lyGh0st
Le kit de règles est aligné avec le cadre MITRE ATT&CK® v.10 et a des traductions pour 26 plateformes SIEM, EDR & XDR.
Au risque de sembler répétitif, nous voulons souligner l’importance primordiale de la prévention et de la détection des menaces en temps voulu. Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour accéder au contenu de détection le plus pertinent sur la menace de ransomware en cliquant sur le Détecter & Chasser bouton ci-dessous. Pour rechercher sans effort les menaces associées et plonger instantanément dans les métadonnées contextuelles, comme les références CTI et MITRE ATT&CK, cliquez sur le Explorer le contexte des menaces bouton et approfondissez les résultats de recherche pertinents en utilisant le moteur de recherche de SOC Prime pour la Détection de Menaces, la Chasse aux Menaces et le CTI.
Détecter & Chasser Explorer le contexte des menaces
Description de H0lyGh0st
Selon l’enquête approfondie par MSTIC, le ransomware H0lyGh0st est une souche relativement nouvelle développée par l’APT DEV-0530 émergeant, sponsorisé par le gouvernement nord-coréen. Les acteurs de la menace utilisent le logiciel malveillant pour des attaques à motivation financière afin de siphonner des fonds vers leur pays, choisissant au hasard de petites et moyennes entreprises à travers le monde. Toutes les attaques observées depuis septembre 2021 suivent le même schéma. Les acteurs de la menace s’appuient sur des vulnérabilités non corrigées dans les applications web orientées client et les CMS (comme CVE-2022-26352) pour déployer le ransomware H0lyGh0st. Ensuite, H0lyGh0st est utilisé pour chiffrer tous les fichiers sur l’instance ciblée en utilisant l’extension .h0lyenc. De plus, un échantillon de fichiers pour prouver l’attaque est envoyé à la victime avec la note de rançon. Les acteurs de la menace demandent généralement des paiements en Bitcoin allant de 1,2 à 5 BTC. La communication avec la victime est organisée via un site Web .onion dédié, qui présente également des menaces de vendre ou de publier des données sensibles pour exercer une double pression d’extorsion sur les victimes. Pourtant, dernièrement, les attaques n’atteignaient pas leur objectif puisque l’analyse du portefeuille de cryptomonnaie de l’acteur ne montre aucun paiement réussi depuis le début de juillet 2022.
All the attacks observed since September 2021 follow the same pattern. Threat actors rely on unpatched vulnerabilities in customer-facing web applications and CMSs (like CVE-2022-26352) to drop the H0lyGh0st ransomware. Then, H0lyGh0st is used to encrypt all files on the targeted instance utilizing the .h0lyenc extension. Further, a sample of files to prove the attack is sent to the victim along with the ransom note. Threat actors typically demand payments in Bitcoin ranging between 1.2 and 5 BTC. Communication with the victim is arranged via a dedicated .onion website, which also showcases threats to sell or publish sensitive data to put double extortion pressure on victims. Still, lately, the attacks were not reaching the goal since the analysis of the actor’s cryptocurrency wallet shows no successful payments since early July 2022.
L’analyse du ransomware H0lyGh0st révèle que dans la période 2021-2022, les attaquants ont publié quatre échantillons du logiciel malveillant pour cibler les systèmes Windows (TLC_C.exe, HolyRS.exe, HolyLock.exe, et BLTC.exe). Alors que BTLC_C.exe (surnommé SiennaPurple) est programmé en C++, les autres versions (suivies sous le nom de SiennaBlue) sont conçues en Go, ce qui indique des tentatives de développement de ransomwares multiplateformes. Les dernières versions sont venues avec des améliorations significatives de leurs principales fonctionnalités, y compris l’obfuscation et les capacités de supprimer les tâches planifiées. Malgré le récent manque de chance des pirates H0lyGh0st dans le domaine des gains financiers, les chercheurs en sécurité avertissent de leurs activités sur le dark web.
En juin, nous avons introduit quelques améliorations significatives au programme Threat Bounty de SOC Prime. Découvrez-en plus sur le programme de développeurs de contenu de détection les plus prolifiques du monde cybernétique et sécurisez votre place parmi les leaders de l’industrie avec SOC Prime.
