HolyGhost Ransomware bedroht kleine Unternehmen

Eine aus Nordkorea stammende Gruppe von Hackern, die vom Microsoft Threat Intelligence Center (MSTIC) als DEV-0530 bezeichnet wird, entwickelt und verwendet seit Juni 2021 Ransomware für Angriffe. Diese Gruppe, die sich selbst H0lyGh0st nennt, verwendet eine Ransomware-Nutzlast mit dem gleichen Namen für ihre Kampagnen und hat bereits im September 2021 erfolgreich kleine Unternehmen in mehreren Ländern kompromittiert.

Zusammen mit der H0lyGh0st-Nutzlast unterhält DEV-0530 eine .onion-Website, die die Gruppe zur Interaktion mit ihren Opfern nutzt. Die Standardmethode der Gruppe besteht darin, alle Dateien auf dem Zielgerät zu verschlüsseln und die Dateierweiterung .h0lyenc zu verwenden, dem Opfer eine Probe der Dateien als Beweis zu senden und dann eine Zahlung in Bitcoin im Austausch für die Wiederherstellung des Zugriffs auf die Dateien zu verlangen.

Als Teil ihrer Erpressungstaktik drohen sie auch damit, die Daten der Opfer in den sozialen Medien zu veröffentlichen oder sie an die Kunden der Opfer zu senden, falls diese sich weigern zu zahlen. Dieser Blog soll einen Teil der MSTIC-Analyse der DEV-0530-Taktik wiedergeben, die Schutzmaßnahmen vorstellen, die Microsoft in seinen Sicherheitsprodukten implementiert hat, und Erkenntnisse über DEV-0530 und H0lyGh0st-Ransomware mit der breiteren Sicherheitsgemeinschaft teilen, um gemeinsame Kunden zu schützen.

MSTIC geht davon aus, dass DEV-0530 Verbindungen zu einer anderen Gruppe mit Sitz in Nordkorea hat, die als PLUTONIUM (auch bekannt als DarkSeoul oder Andariel) bezeichnet wird. Während die Verwendung von H0lyGh0st-Ransomware in Kampagnen nur DEV-0530 bekannt ist, hat MSTIC die Kommunikation zwischen den beiden Gruppen sowie die Verwendung von Tools durch DEV-0530 beobachtet, die ausschließlich von PLUTONIUM entwickelt wurden.

Auf der Grundlage von geopolitischen Beobachtungen globaler Experten für nordkoreanische Angelegenheiten und von Indizienbeobachtungen gehen Microsoft-Analysten davon aus, dass die Verwendung von Ransomware durch in Nordkorea ansässige Akteure wahrscheinlich durch zwei mögliche Ziele motiviert ist.

Die erste Möglichkeit ist, dass die nordkoreanische Regierung diese Aktivitäten fördert. Die geschwächte nordkoreanische Wirtschaft ist seit 2016 aufgrund von Sanktionen, Naturkatastrophen, Dürre und der COVID-19-Abriegelung der nordkoreanischen Regierung von der Außenwelt seit Anfang 2020 immer schwächer geworden. Um die Verluste aus diesen wirtschaftlichen Rückschlägen auszugleichen, könnte die nordkoreanische Regierung Cyber-Akteure gesponsert haben, die seit mehr als fünf Jahren Banken und Kryptowährungs-Wallets ausrauben. Wenn die nordkoreanische Regierung diese Ransomware-Angriffe in Auftrag gibt, wären die Angriffe eine weitere Taktik, die die Regierung zum Ausgleich finanzieller Verluste eingesetzt hat.

Staatlich gesponserte Aktivitäten gegen Kryptowährungsorganisationen zielen jedoch in der Regel auf eine viel breitere Gruppe von Opfern ab als in der DEV-0530-Viktimologie beobachtet. Aus diesem Grund ist es ebenso möglich, dass die nordkoreanische Regierung diese Ransomware-Angriffe nicht ermöglicht oder unterstützt. Personen, die Verbindungen zur PLUTONIUM-Infrastruktur und -Tools haben, könnten diese Angriffe als Schwarzarbeit betreiben, um sich persönlich zu bereichern. Diese Theorie könnte die oft zufällige Auswahl der von DEV-0530 angegriffenen Opfer erklären.

Auch wenn Microsoft keine Gewissheit über die Beweggründe von DEV-0530 haben kann, machen die Auswirkungen dieser Ransomware-Angriffe auf Kunden deutlich, wie wichtig es ist, die zugrunde liegenden Taktiken und Techniken aufzudecken, Angriffe in Sicherheitsprodukten zu erkennen und zu verhindern und Wissen mit dem Sicherheits-Ökosystem zu teilen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago