[ad_1]
Várias cepas de ransomware foram vinculadas ao APT38, um grupo de hackers patrocinado pela Coreia do Norte conhecido por seu foco em direcionar e roubar fundos de instituições financeiras em todo o mundo.
Eles também são conhecidos por implantar malware destrutivo nas redes de suas vítimas durante o último estágio de seus ataques, provavelmente destruindo quaisquer vestígios de sua atividade.
Christiaan Beek, principal pesquisador de ameaças da empresa de segurança cibernética Trellix, disse que os operadores do grupo (parte da Unidade 180 do Cyber Army Bureau 121 da Coréia do Norte) também usaram o Beaf, PXJ, ZZZZ e ChiChi para extorquir dinheiro de algumas de suas vítimas.
Os links para o APT38 foram encontrados ao analisar o código e os artefatos quanto à semelhança com o ransomware VHD que, como o ransomware TFlower, estava vinculado ao grupo norte-coreano Lazarus APT.
Pesquisadores da Kaspersky e da Sygnia fizeram a conexão depois de ver as duas linhagens sendo implantadas nas redes das vítimas por meio da estrutura de malware multiplataforma MATA, uma ferramenta maliciosa usada exclusivamente pelos operadores do Lazarus, de acordo com a Kaspersky.
Beek revelou na quarta-feira que, com base na visualização de código usando o mapeamento de curva de Hilbert, PXJ, Beaf e ZZZZ compartilham uma quantidade notável de código-fonte e funcionalidade com VHD e TFlower ransomware, com Beaf e ZZZZ sendo clones quase exatos um do outro.
“Você não precisa ser um especialista em malware para reconhecer imediatamente que as imagens do ZZZ e do BEAF Ransomware são quase idênticas”, disse o pesquisador do Trellix.
“Também fica evidente que tanto o Tflower quanto o ChiChi são muito diferentes em comparação com o VHD”.
Embora a base de código de ChiChi tenha pouco ou nenhum terreno comum, Beek foi capaz de descobrir que o Semenov[.]akkim @protonmail[.]O endereço de e-mail com foi usado por ChiChi e ZZZZ em suas notas de resgate.
Os ataques usando essas famílias de ransomware têm como alvo apenas entidades na Ásia-Pacífico (APAC), dificultando a localização das identidades das vítimas, pois não havia bate-papos comerciais ou sites de vazamento para investigar.
A Trellix também tentou descobrir links adicionais analisando as transferências de criptomoedas por trás dos pagamentos de resgate, mas não encontrou sobreposição nas carteiras de criptomoedas usadas para coletar os resgates.
No entanto, eles descobriram que os hackers norte-coreanos só conseguiram coletar pequenas quantidades de ativos criptográficos (por exemplo, uma transferência de 2,2 BTC em meados de 2020, no valor de US$ 20.000 na época).
“Suspeitamos que as famílias de ransomware [..] eles fazem parte de ataques mais organizados”, acrescentou Beek.
“Com base em nossa pesquisa, inteligência combinada e observações de ataques de ransomware direcionados menores, a Trellix os atribui a hackers afiliados à RPDC com alta confiança”.
[ad_2]