Kaspersky : les hackers nord-coréens sont derrière le ransomware VHD

Spread the love
Kaspersky : les hackers nord-coréens sont derrière le ransomware VHD

Le fabricant d’antivirus Kaspersky a publié ce mardi un rapport dans lequel il indique que des pirates informatiques associés au régime nord-coréen sont à l’origine d’une nouvelle souche de ransomware, connue sous le nom de VHD.

Le rapport détaille deux incidents dont Kaspersky a été informé, au cours desquels des intrus ont eu accès aux réseaux d’entreprises et ont déployé le ransomware VHD.

Les experts de Kaspersky affirment que les outils et techniques utilisées lors des deux intrusions lient les attaquants au groupe Lazarus – un nom générique donné aux pirates informatiques travaillant pour le régime de Pyongyang.

publicité

Outils déployés

Les outils et techniques en question comprennent l’utilisation :

  • du framework de malwares MATA (Dacls) pour déployer VHD en tant que charge utile finale ;
  • de techniques pour se déplacer à travers le réseau interne d’une victime précédemment observée dans les campagnes attribuées à Lazarus.

« Les données dont nous disposons tendent à indiquer que le ransomware VHD n’est pas un ransomware standard. Et pour autant que nous le sachions, le groupe Lazarus est le seul propriétaire du framework MATA. Par conséquent, nous concluons que le ransomware VHD est également détenu et exploité par Lazarus », précisent les chercheurs de Kaspersky.

Une conclusion cohérente

Ce que Kaspersky a découvert ici semble cohérent avec les autres rapports publiés sur l’écosystème du piratage nord-coréen.

Sur la base de rapports antérieurs, publiés au cours des quatre dernières années, les pirates informatiques nord-coréens sont généralement divisés en deux catégories : ceux qui se livrent au cyberespionnage à des fins de renseignement et ceux qui se livrent à la criminalité financière, visant à lever des fonds pour le gouvernement de Pyongyang. Selon le Trésor américain, ces sommes sont utilisées pour soutenir les programmes d’armes et de missiles du pays.

Les attaques VHD sont, sans aucun doute, l’œuvre du deuxième groupe, qui cherche à extorquer de l’argent aux organisations piratées.

Autres activités

Le groupe se livre à d’autres activités pour collecter des fonds, comme le piratage de banques, le vol de devises dans des bourses d’échange de cryptomonnaie, l’orchestration d’attaques de “jackpotting” contre des distributeurs automatiques, l’exécution de botnets de cryptominage et même la participation à des attaques de web skimming (Magecart) pour voler des données bancaires et les revendre.

Les pirates informatiques de Lazarus sont également connus pour pénétrer dans les réseaux d’entreprise, voler des données, puis demander aux victimes une rançon pour ne pas publier leurs données en ligne.

Voir des pirates nord-coréens se livrer à des attaques de ransomware n’est pas surprenant, car les attaques de ransomware font partie des opérations de cybercriminalité les plus rentables d’aujourd’hui.

WannaCry et VHD

Les agences de renseignement occidentales ont accusé la Corée du Nord d’avoir créé et perdu le contrôle du ransomware WannaCry, qui s’est répandu avec virulence à travers le monde en mai 2017.

La différence entre VHD et WannaCry réside dans le fait que VHD est mieux codé, et que les opérateurs de Lazarus semblent ne le déployer qu’avec parcimonie.

Le groupe vise principalement les réseaux d’entreprises de haut niveau, afin d’exiger d’énormes rançons pour décrypter les données. Cette tactique est connue aujourd’hui sous le nom de “big game hunting” (“chasse au gros gibier”, NDLR).

Source : ZDNet.com

Leave a Reply