Detecção do H0lyGh0st: Novo Ransomware Ligado ao APT Norte-Coreano
Índice:
Novo dia, a dor de cabeça para os defensores cibernéticos! Microsoft Threat Intelligence Center (MSTIC) relata uma nova cepa de ransomware atacando pequenas a médias empresas em todo o mundo desde junho de 2021. Apelidado de H0lyGh0st, o malware foi inicialmente desenvolvido por um APT norte-coreano emergente rastreado sob o codinome DEV-0530. Os ataques de ransomware são explicitamente motivados por ganho financeiro, visando setores como manufatura, educação, serviços financeiros e tecnologia.
A análise da atividade do DEV-0530 revela vínculos com outro agente de ameaça apoiado pela Coreia do Norte conhecido como Plutonium (também conhecido como Andariel), uma unidade ativa do guarda-chuva Lazarus. Especialistas em segurança observam comunicação ativa entre os clusters, bem como ferramentas maliciosas compartilhadas para prosseguir com os ataques.
Detectar H0lyGh0st
Para identificar comportamentos associados ao ransomware H0lyGh0st, utilize o seguinte conteúdo de detecção de ameaças lançado por experientes colaboradores da Threat Bounty Aytek Aytemur and Muhammed Hamdi Akin:
Detecção de atividade de ransomware H0lyGh0st
O conjunto de regras está alinhado com o framework MITRE ATT&CK® v.10 e possui traduções para 26 plataformas SIEM, EDR & XDR.
Arriscando soar como um disco riscado, queremos enfatizar a importância crucial da prevenção e detecção de ameaças em tempo hábil. Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para acessar o conteúdo de detecção mais relevante sobre a ameaça de ransomware clicando no Detectar & Caçar botão abaixo. Para buscar facilmente por ameaças relacionadas e mergulhar instantaneamente em metadados contextuais, como referências CTI e MITRE ATT&CK, clique no Explorar Contexto da Ameaça botão e aprofunde-se nos resultados de busca relevantes usando o motor de busca da SOC Prime para Detecção de Ameaças, Caça de Ameaças e CTI.
Detectar & Caçar Explorar Contexto da Ameaça
Descrição do H0lyGh0st
De acordo com a investigação aprofundada do MSTIC, o ransomware H0lyGh0st é uma cepa relativamente nova desenvolvida pelo emergente APT DEV-0530 patrocinado pelo governo norte-coreano. Os agentes de ameaça utilizam o malware para ataques financeiros com o objetivo de desviar fundos para seu país, escolhendo empresas pequenas e médias ao redor do mundo. Todos os ataques observados desde setembro de 2021 seguem o mesmo padrão. Os agentes de ameaça se apoiam em vulnerabilidades não corrigidas em aplicativos web voltados para o cliente e CMSs (como CVE-2022-26352) para implementar o ransomware H0lyGh0st. Em seguida, o H0lyGh0st é usado para criptografar todos os arquivos na instância alvo, utilizando a extensão .h0lyenc. Além disso, uma amostra dos arquivos para comprovar o ataque é enviada à vítima juntamente com a nota de resgate. Os agentes de ameaça normalmente exigem pagamentos em Bitcoin variando entre 1,2 e 5 BTC. A comunicação com a vítima é organizada através de um site .onion dedicado, que também exibe ameaças de vender ou publicar dados sensíveis para aplicar uma pressão de dupla extorsão sobre as vítimas. No entanto, ultimamente, os ataques não estão alcançando o objetivo, já que a análise da carteira de criptomoedas do agente mostra que não houve pagamentos bem-sucedidos desde o início de julho de 2022.
All the attacks observed since September 2021 follow the same pattern. Threat actors rely on unpatched vulnerabilities in customer-facing web applications and CMSs (like CVE-2022-26352) to drop the H0lyGh0st ransomware. Then, H0lyGh0st is used to encrypt all files on the targeted instance utilizing the .h0lyenc extension. Further, a sample of files to prove the attack is sent to the victim along with the ransom note. Threat actors typically demand payments in Bitcoin ranging between 1.2 and 5 BTC. Communication with the victim is arranged via a dedicated .onion website, which also showcases threats to sell or publish sensitive data to put double extortion pressure on victims. Still, lately, the attacks were not reaching the goal since the analysis of the actor’s cryptocurrency wallet shows no successful payments since early July 2022.
A análise do ransomware H0lyGh0st revela que no período de 2021-2022, os atacantes lançaram quatro amostras do malware para atacar sistemas Windows (TLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe). Enquanto o BTLC_C.exe (apelidado de SiennaPurple) é programado em C++, o restante das versões (rastreadas como SiennaBlue) são confeccionadas em Go, apontando para tentativas de desenvolvimento de ransomware multiplataforma. As versões mais recentes vieram com melhorias significativas em seus principais recursos, incluindo ofuscação da cepa e habilidades para excluir tarefas agendadas. Apesar da recente falta de sorte dos hackers do H0lyGh0st no domínio do ganho financeiro, pesquisadores de segurança alertam para suas atividades na dark web.
Em junho, introduzimos algumas melhorias significativas no Programa Threat Bounty da SOC Prime. Saiba mais sobre o programa dos desenvolvedores de conteúdo de detecção mais prolíficos do mundo cibernético e garanta seu lugar entre os líderes da indústria com a SOC Prime.
