Microsoft: хакеры-вымогатели из Северной Кореи атакуют малый и средний бизнес в США

Дата: 16.07.2022. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
Microsoft: хакеры-вымогатели из Северной Кореи атакуют малый и средний бизнес в США
Изображение: Micha Brändli (unsplash)

Исследователи из Microsoft Security обнаружили активность новой северокорейской хакерской группировки H0lyGh0st, которая в своих атаках на американские организации малого и среднего бизнеса использует программы-вымогатели. По словам экспертов, группа уже более года занимается разработкой вредоносного ПО и организацией атак на цели в США.

Помимо внедрения вымогательского программного обеспечения в сети компаний-жертв, группа H0lyGh0st, отслеживаемая Microsoft как DEV-0530, ведёт собственный сайт .onion, который используется для связи с жертвами.

Северокорейские хакеры шифруют внутренние данные атакованной компании, после чего отправляют жертве образец зашифрованных файлов в качестве доказательства, требуя выкуп в биткоинах в обмен на «восстановление доступа».

В Microsoft Threat Intelligence Center (MSTIC) по результатам проведенного исследования заявили, что группировка H0lyGh0st, скорее всего, напрямую финансируется северокорейскими властями. Это связано с экономическими причинами – с помощью кибератак с вымогательством правительство КНДР стремится компенсировать финансовый удар, нанесенный стране международными санкциями, стихийными бедствиями, засухой и карантином из-за COVID-19.

При этом в Microsoft не исключают и того, что хакерская группировка H0lyGh0st лишь маскируется под северокорейскую APT-группу, а её члены никак не связаны с властями КНДР, а лишь используют похожие инструменты, которые ранее применялись подтвержденными северокорейскими APT-группами.

В MSTIC отмечают, что группировка H0lyGh0st проводит атаки с использованием собственных программ-вымогателей примерно с ноября 2021 года. Обзор жертв показывает, что это были преимущественно малые и средние предприятия, в том числе производственные компании, финансовые организации, образовательные учреждения и т. д.

Согласно исследованию MSTIC, киберпреступники из H0lyGh0st запрашивают у своих жертв сравнительно малые суммы для восстановления доступа – от 1,2 до 5 биткоинов. Причем практически всего хакеры ведут переговоры, постепенно снижая сумму выкупа, если жертва согласна платить.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *