Rilevamento H0lyGh0st: Nuovo Ransomware Legato all’APT Nordcoreano

[post-views]
Luglio 18, 2022 · 4 min di lettura
Rilevamento H0lyGh0st: Nuovo Ransomware Legato all’APT Nordcoreano

Nuovo giorno, il mal di testa per i difensori informatici! Microsoft Threat Intelligence Center (MSTIC) segnala una nuova variante di ransomware che attacca le piccole e medie imprese in tutto il mondo da giugno 2021. Chiamato H0lyGh0st, il malware è stato inizialmente sviluppato da un emergente APT nordcoreano tracciato con il nome DEV-0530. Gli attacchi ransomware sono esplicitamente motivati finanziariamente, prendendo di mira settori come produzione, istruzione, servizi finanziari e tecnologia.

L’analisi dell’attività DEV-0530 rivela legami con un altro attore di minacce supportato dalla Corea del Nord noto come Plutonium (alias Andariel), un’unità attiva dell’umbrella Lazarus. Gli esperti di sicurezza osservano una comunicazione attiva tra i cluster così come la condivisione di strumenti dannosi per proseguire con gli attacchi.

Rileva H0lyGh0st

Per identificare i comportamenti associati al ransomware H0lyGh0st, utilizzare il seguente contenuto di rilevamento delle minacce rilasciato da esperti collaboratori di Threat Bounty Aytek Aytemur and Muhammed Hamdi Akin:

Rilevamento delle attività del Ransomware H0lyGh0st

Il kit di regole è allineato con il framework MITRE ATT&CK® v.10 e ha traduzioni per 26 piattaforme SIEM, EDR & XDR.

Rischiando di sembrare un disco rotto, vogliamo sottolineare l’importanza cruciale della prevenzione e rilevamento tempestivo delle minacce. Iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime per accedere al contenuto di rilevamento più rilevante sulla minaccia ransomware cliccando il Rileva & Ricerca pulsante qui sotto. Per cercare senza sforzo le minacce correlate e approfondire istantaneamente i metadati contestuali, come riferimenti CTI e MITRE ATT&CK, clicca il Esplora il Contesto della Minaccia pulsante e scendi nei risultati di ricerca rilevanti utilizzando il motore di ricerca di SOC Prime per Rilevamento delle Minacce, Ricerca delle Minacce, e CTI.

Rileva & Ricerca Esplora il Contesto della Minaccia

Descrizione di H0lyGh0st

Secondo l’approfondita indagine di MSTIC, il ransomware H0lyGh0st è una variante relativamente nuova sviluppata dall’emergente APT DEV-0530 sponsorizzato dal governo nordcoreano. Gli attori della minaccia sfruttano il malware per attacchi motivati finanziariamente per incanalare fondi nel loro paese, scegliendo casualmente piccole e medie imprese in tutto il mondo.

Tutti gli attacchi osservati da settembre 2021 seguono lo stesso schema. Gli attori della minaccia si affidano a vulnerabilità non patchate nelle applicazioni web rivolte ai clienti e nei CMS (come CVE-2022-26352) per far cadere il ransomware H0lyGh0st. Quindi, H0lyGh0st viene utilizzato per crittografare tutti i file sull’istanza target utilizzando l’estensione .h0lyenc. Successivamente, un campione di file per dimostrare l’attacco viene inviato alla vittima insieme alla nota di riscatto. Gli attori della minaccia tipicamente richiedono pagamenti in Bitcoin tra 1.2 e 5 BTC. La comunicazione con la vittima è organizzata tramite un sito .onion dedicato, che mostra anche minacce di vendita o pubblicazione di dati sensibili per applicare pressione doppia alla vittima. Tuttavia, recentemente gli attacchi non hanno raggiunto l’obiettivo poiché l’analisi del portafoglio di criptovaluta dell’attore non mostra pagamenti avvenuti da inizio luglio 2022.

L’analisi del ransomware H0lyGh0st rivela che nel periodo 2021-2022, gli attaccanti hanno rilasciato quattro campioni del malware per colpire i sistemi Windows (TLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe). Mentre BTLC_C.exe (chiamato SiennaPurple) è programmato in C++, il resto delle versioni (tracciate come SiennaBlue) sono realizzate in Go, indicando tentativi di sviluppo di ransomware multi-piattaforma. Le ultime versioni sono arrivate con significativi miglioramenti alle loro caratteristiche principali, inclusa l’offuscamento del ceppo e la capacità di eliminare le attività pianificate. Nonostante l’ultima mancanza di fortuna dei hacker H0lyGh0st nel guadagno finanziario, i ricercatori di sicurezza avvertono delle loro attività nel dark web.

A giugno, abbiamo introdotto alcune miglioramenti significativi al Programma Threat Bounty di SOC Prime. Scopri di più sul programma degli sviluppatori di contenuti di rilevamento più prolifico nel mondo della cyber sicurezza e assicurati il tuo posto tra i leader del settore con SOC Prime.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati