Analiza incidenata u dva slučaja u Evropi i Aziji koju je sprovela kompanija Kaspersky otkrila je da se VHD ransomver – prvi put pomenut u javnosti u proleće 2020. godine – nalazi u vlasništvu grupe Lazarus, poznate APT grupe iz Severne Koreje. Ovakav plan grupe Lazarus, da kreira i distribuira ransomver, predstavlja promenu strategije i ukazuje na spremnost ulaska u borbu za finansijsku dobit, što je veoma neobično među APT grupama koje sponzoriše država.
U martu i aprilu 2020. godine, nekoliko sajber-bezbednosnih organizacija, uključujući kompaniju Kaspersky, izvestilo je o VHD ransomveru – malicioznom programu dizajniranom da iznudi novac od svojih žrtava, što ga je izdvajalo zbog njegove samo-replikacione metode. Korišćenje ovog malvera za širenje koristi u kombinaciji sa poverljivim podacima specifičnim za žrtve podsećalo je na APT kampanje. Dok, svojevremeno, akter koji stoji iza napada nije tačno određen, istraživači kompanije Kaspersky su sa velikom sigurnošću VHD ransomver povezali sa grupom Lazarus nakon analize incidenata u kojima je ransomver u napadu na preduzeća u Francuskoj i Aziji korišćen zajedno sa dobro poznatim alatima grupe Lazarus.
Dve odvojene istrage koje se tiču VHD ransomvera sprovedene su u periodu između marta i maja 2020. godine. Dok prvi incident, do koga je došlo u Evropi, nije naročito ukazivao na to ko stoji iza njega, tehnike širenja malvera slične onima koje koriste APT grupe održavale su zainteresovanost istraživačkog tima. Osim toga, napad se nije uklapao u uobičajeni modus operandi poznatih grupa koje se bore za dobit. Takođe, činjenica da je bio dostupan veoma ograničen broj uzoraka VHD ransomvera – ukombinovana sa malo javnih referenci – ukazivala je na to da se ovom ransomver porodicom ne trguje toliko na forumima crnog tržišta, što bi uobičajeno bio slučaj.
Drugi incident koji je uključivao VHD ransomver pružio je sveobuhvatan uvid u lanac infekcije i omogućio je istraživačima da povežu ransomver sa grupom Lazarus. Između ostalog, i najznačajnije – napadači su koristili bekdor, koji je predstavljao deo multiplatformskog okvira poznatog kao MATA, o kome je kompanija Kaspersky nedavno opširno izvestila i koji je usled broja koda i sličnosti u korisnosti povezan sa ranije pomenutim akterom pretnje.
Uspostavljena veza je ukazivala na to da grupa Lazarus stoji iza VHD ransomver kampanja koje su do sada zabeležene. Ovo je takođe prvi put da je ustanovljeno da se Lazarus grupa okrenula targetiranim ransomver napadima radi finansijske dobiti, s obzirom na to da je kreirala i samostalno upravljala sopstvenim ransomverom, što nije tipično u sajber-kriminalnom ekosistemu.
“Znali smo da je grupa Lazarus oduvek fokusirana na finansijsku dobit, ipak, od WannaCry napada nismo primetili nikakvu aktivnost sa ransomverom. Mada je očigledno da grupa ne može da dostigne efikasnost ostalih sajber-kriminalnih bandi sa svojim pristupom targetiranom ransomveru koji podrazumeva bežanje sa mesta zločina, činjenica da se ona okrenula takvim tipovima napada zabrinjava. Globalna pretnja ransomverom je već dovoljno velika, i često ima veliki finansijski uticaj na organizacije koje su žrtve do te mere da ih dovede do bankrota. Pitanje koje moramo da postavimo sebi jeste da li ovi napadi predstavljaju izolovane eksperimente ili su deo novog trenda i, posledično, da li privatne kompanije treba da budu zabrinute za to da će postati žrtve aktera pretnji koje sponzoriše država,” komentariše Ivan Kvijatkovski (Ivan Kwiatkowski), glavni istraživač bezbednosti u GReAT timu kompanije Kaspersky. “Bilo kako bilo, organizacije moraju da imaju na umu da je zaštita podataka sada bitnija nego ikada pre – kreiranje izolovanih rezervnih kopija ključnih podataka i investiranje u reaktivne odbrane su apsolutno neophodni”.
Kako bi pomogli preduzećima da se zaštite od ransomvera, stručnjaci takođe predlažu preduzimanje sledećih koraka:
- Smanjite šanse od inficiranja ransomverom putem fišinga i nemara: objasnite zaposlenima kako poštovanje jednostavnih pravila može da pomogne kompaniji u izbegavanju incidenata sa ransomverom. Tome posvećeni kursevi obuke mogu pomoći, kao što su oni koje možete pronaći na Kaspersky Automated Security Awareness Platform.
- Postarajte se da su svi softveri, aplikacije i sistemi uvek ažurirani. Koristite zaštitno rešenje koje sadrži opcije upravljanja ranjivošću i zakrpama, kako bi vam pomoglo u identifikovanju još uvek nezakrpljenih ranjivosti na vašoj mreži.
- Sprovedite sajber-bezbednosnu proveru svojih mreža i sanirajte sve otkrivene slabosti u perimetru ili unutar mreže.
- Obezbedite pravu zaštitu za sve krajnje tačke i servere, putem integrisanja rešenja kao što je Integrated Endpoint Security rešenje kompanije Kaspersky. Ono kombinuje bezbednost krajnje tačke sa sanbox i EDR rešenjima čime omogućuje efikasnu zaštitu čak i od novih tipova ransomvera, kao i momentalnu vidljivost pretnji koje su detektovane na korporativnim krajnjim tačkama.
- Obezbedite svom bezbednosnom timu pristup najnovijim informacijama o pretnjama kako bi bili u toku sa novim nadolazećim alatima, tehnikama i taktikama koje koriste akteri pretnji i sajber kriminalci.
- Ransomver predstavlja krivično delo. Ukoliko potanete žrtva nikada nemojte plaćati otkupninu. Umesto toga, izvestite lokalne nadležne organe o incidentu. Pokušajte da pronađete dekriptor na internetu – neki dekriptori su dostupni ovde https://www.nomoreransom.org/en/index.html
Saznajte više o opisanim incidentima koji sadrže VHD ransomver na Securelist .