Przeprowadzona przez firmę Kaspersky analiza incydentów obejmująca dwa przypadki w Europie i Azji wykazała, że oprogramowanie ransomware VHD – o którym po raz pierwszy wspomniano publicznie wiosną 2020 r. – należy do znanego północnokoreańskiego cybergangu Lazarus i jest przez niego aktywnie wykorzystywane. Przygotowanie własnego narzędzia ransomware oznacza zmianę strategii tego ugrupowania i wskazuje na gotowość do udziału w pogoni za korzyściami finansowymi, co jest niezwykle rzadkie w przypadku zaawansowanych cyberprzestępców sponsorowanych przez rządy.
W marcu i kwietniu 2020 r. kilka organizacji z branży cyberbezpieczeństwa, w tym firma Kaspersky, informowało o oprogramowaniu ransomware VHD – szkodniku stworzonym w celu wyłudzania pieniędzy od ofiar, wyróżniającym się na tle innych ze względu na stosowaną metodę automatycznej replikacji. Zastosowanie narzędzia rozprzestrzeniania przygotowanego z wykorzystaniem danych uwierzytelniających specyficznych dla danej ofiary przypominało kampanie zaawansowanych cybergangów APT. Chociaż osoby stojące za tymi atakami nie zostały jeszcze zidentyfikowane, badacze z firmy Kaspersky z dużym stopniem pewności powiązali oprogramowanie ransomware VHD z cybergangiem Lazarus w wyniku analizy incydentu, w którym zostało ono wykorzystane wraz ze znanymi narzędziami tego ugrupowania przeciwko firmom we Francji i Azji.
W okresie marzec-kwiecień 2020 r. przeprowadzono dwa oddzielne dochodzenia dotyczące VHD. Chociaż pierwszy incydent, który miał miejsce w Europie, nie pozostawił wielu wskazówek pozwalających zidentyfikować sprawców, zespół dochodzeniowy zaciekawiły techniki rozprzestrzeniania, które były podobne do tych stosowanych przez zaawansowane ugrupowania APT. Poza tym atak nie pasował do typowego sposobu działania znanych grup cyberprzestępczych polujących na duże pieniądze. Również występowanie bardzo ograniczonej liczby próbek VHD wskazywało na to, że w przypadku tej rodziny oprogramowania ransomware nie można mówić o szerokiej sprzedaży na czarnorynkowych forach.
Drugi incydent dotyczący VHD dał pełny obraz łańcucha infekcji i umożliwił badaczom powiązanie tego oprogramowania ransomware z ugrupowaniem Lazarus. Co najważniejsze, atakujący wykorzystali backdoora (czyli tylną furtkę do atakowanego systemu) stanowiącego część wieloplatformowego zestawu narzędzi o nazwie MATA, o którym firma Kaspersky niedawno szczegółowo informowała i który jest powiązany ze wspomnianym wcześniej ugrupowaniem ze względu na wiele podobieństw w kodzie.
Zidentyfikowany związek wskazywał na to, że ugrupowanie Lazarus stało za udokumentowanymi do tej pory kampaniami z wykorzystaniem oprogramowania ransomware VHD. Ponadto po raz pierwszy ustalono, że omawiane ugrupowanie przeprowadziło ataki ukierunkowane z udziałem ransomware w celu osiągnięcia korzyści finansowych, tworząc i samodzielnie wykorzystując własne oprogramowanie, co jest stosunkowo nietypowe w ekosystemie cyberprzestępczym
Wiedzieliśmy, że ugrupowanie Lazarus zawsze było nastawione na korzyści finansowe, jednak od czasu WannaCry nie zaobserwowaliśmy w jego kontekście żadnych ataków z wykorzystaniem oprogramowania ransomware. Fakt stosowania przez grupę Lazarus nowych ataków tego rodzaju jest niepokojący. Globalne zagrożenie ze strony oprogramowania ransomware i wystarczająco duże, a organizacje, które padły jego ofiarą, często ponoszą straty finansowe prowadzące nawet do bankructwa. Musimy sobie zadać pytanie, czy ataki te stanowią odosobniony eksperyment, czy raczej nowy trend, a zatem czy firmy prywatne powinny martwić się, że padną ofiarą cyberprzestępców sponsorowanych przez rządy – komentuje Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa w zespole GreAT firmy Kaspersky. Niezależnie od odpowiedzi na to pytanie organizacje powinny pamiętać, że ochrona danych nadal jest istotna – tworzenie wyizolowanych kopii zapasowych ważnych danych oraz zainwestowanie w skuteczną ochronę jest absolutną koniecznością.
Szczegóły dotyczące omawianych incydentów z udziałem oprogramowania ransomware VHD są dostępne na stronie https://r.kaspersky.pl/8iKPg.