Os cientistas da Microsoft descobriram uma nova ameaça de ransomware que afetou várias pequenas e médias empresas. Esta é uma atividade financiada pelo Estado da Coreia do Norte e tem estado ocorrendo desde o ano anterior.
Um grupo identificado pelos investigadores do Centro de Inteligência de Ameaças da Microsoft (MSTIC) como DEV-0530, mas que é conhecido como H0lyGh0st, vem desenvolvendo e utilizando ransomware em ações desde junho de 2021.

O empreendimento prometeu bem-sucedido a empresas de pequeno porte – incluindo fabricantes, bancos, escolas e planejadores de eventos e encontros – em vários países, anunciaram pesquisadores da Unidade de Segurança Digital MTIC e Microsoft (MDSU) em um post divulgado na quinta-feira.
O procedimento padrão do H0lyGh0st é usar um “falso” ransomware para encriptar todos os arquivos no dispositivo alvo com a extensão .h0lyenc e enviar à vítima uma amostra dos arquivos como prova. O grupo interage com as vítimas por meio de um site “.onion” que mantém e oferece um formulário de contato para as vítimas entrarem em contato com eles, disseram os pesquisadores.
Participe de um evento on-demand gratuito: junte-se a Zane Bond, da Keeper Security, para uma mesa-redonda na Threatpost e aprenda como acessar suas máquinas remotamente e compartilhar arquivos confidenciais do seu local de trabalho em casa.
O grupo frequentemente solicita o pagamento em Bitcoin a fim de restaurar o acesso aos arquivos. No seu site, H0lyGh0st assevera que não venderá ou divulgará os dados das vítimas se elas pagarem. Porém, ele emprega a extorsão dupla para pressionar as vítimas a efetuar o pagamento, ameaçando publicar os dados roubados nas redes sociais ou enviá-los para os clientes delas caso não cumpram com as exigências de resgate.
Apresentamos o HolyGhost
As campanhas de ransomware da H0lyGh0st são impulsionadas financeiramente, com especialistas analisando mensagens relacionadas a uma exigência de resgate que interceptaram, na qual os agressores alegam que têm o intuito de “aliviar a desigualdade entre ricos e pobres”, declararam os pesquisadores.
Eles tentam justificar seus atos, afirmando que aumentam a percepção de segurança da vítima, possibilitando que ela tenha maior conhecimento sobre como se prevenir, segundo foi dito.
DEV-0530 também tem ligações com um outro agrupamento da Coreia do Norte rastreado como PLUTONIUM, também conhecido como DarkSeoul ou Andariel, de acordo com o MSTIC, com especialistas notando comunicações entre os dois grupos. O H0lyGh0st foi igualmente visto a empregar instruments construídos especialmente pelo PLUTONIUM, eles disseram.
Uma narrativa de duas famílias
Desde junho de 2021 até maio de 2022, H0lyGh0st tem usado duas famílias de malware personalizadas, SiennaPurple e SiennaBlue, disseram os pesquisadores. MSTIC descobriu quatro variações vinculadas a essas famílias: BTLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe.
O programa BTLC_C.exe foi escrito em C++ e classificado como SiennaPurple, enquanto o resto é uma linguagem de código aberto Go, de acordo com os pesquisadores. Todas as variantes são compiladas em .exe para segmentar computadores que usam o sistema operacional Windows, segundo eles.
BLTC_C.exe foi identificado pela primeira vez em junho de 2021 e acredita-se ser uma versão inicial criada pelo grupo. No entanto, as características são relativamente limitadas quando comparadas a outros vírus da família SiennaBlue, de acordo com os especialistas.
Mais tarde, durante a evolução do grupo, entre outubro de 2021 e maio de 2022, o MSTIC notou uma série de novas versões do ransomware DEV-0530 criadas em Go, as quais foram designadas como variantes SiennaBlue, segundo declarações deles.
Apesar de diversas extensões terem sido incorporadas às suas versões ao longo do tempo, todos os vírus ransomware da família SiennaBlue possuem um núcleo de características iguais, de acordo com os pesquisadores. Estas funções incluem várias opções de codificação, camuflagem de sequências de caracteres, administração de chaves públicas e conexão à Internet e a redes locais, disseram os estudiosos.
Novas versões da Covid-19 começam a aparecer.
A última versão de ransomware a ser empregada pelo grupo é BTLC.exe, que pesquisadores têm detectado desde abril deste ano, relatam eles.
O BTLC.exe pode ser configurado para se conectar a um compartilhamento de rede usando o usuário predefinido, senha e endereço da intranet codificados no malware, caso o ServerBaseURL não seja acessível a partir do dispositivo, afirmaram os pesquisadores.
O malware também contém um mecanismo de sustentação no qual ele cria ou exclui uma tarefa agendada referida como “lockertask” que possibilita a execução do ransomware. Depois de ser lançado com êxito como um administrador, o malware tenta conectar-se ao servidor “ServerBaseURL” codificado no malware, tenta adquirir uma chave pública do servidor C2 e cifra todos os arquivos no dispositivo da vítima, informaram eles.
Evento sob demanda: Participe da mesa-redonda do Threatpost com Zane Bond, da Keeper Security. Descubra como acessar de forma segura suas máquinas remotamente e compartilhar documentos confidenciais entre o escritório e o lar.
Proposta de paráfrase: Divulgue este artigo.
- O Governo Federal divulgou novas medidas para controlar a disseminação do coronavírus.
- Malware é um programa prejudicial.