Holy Ghost, un ransomware moins connu (s’ouvre dans un nouvel onglet) opérateur, est très probablement géré par des pirates nord-coréens, a déclaré Microsoft.
Le Threat Intelligence Center (MSTIC) de la société a suivi le malware (s’ouvre dans un nouvel onglet) variante depuis plus d’un an maintenant, et a trouvé de multiples preuves indiquant que les Nord-Coréens sont derrière l’opération.
Bien que le groupe semble être lié au gouvernement du pays, il semble qu’il ne soit pas salarié, mais plutôt un groupe financièrement motivé qui coopère parfois avec le gouvernement.
MO typique
MSTIC affirme que le groupe fonctionne depuis un certain temps maintenant, mais n’a pas réussi à devenir aussi grand ou aussi populaire que d’autres acteurs majeurs, tels que BlackCat, REvil ou autres.
Il a le même mode opératoire : trouver une faille dans les systèmes de la cible (Microsoft a repéré le groupe abusant de CVE-2022-26352), se déplacer latéralement sur le réseau, cartographier tous les endpoints, exfiltrer les données sensibles, déployer un ransomware (auparavant, le groupe a utilisé la variante SiennaPurple, puis est passée à une version améliorée de SiennaBlue), puis exige le paiement d’une rançon en échange de la clé de déchiffrement et la promesse que les données ne seront pas divulguées/vendues sur le marché noir.
Le groupe ciblerait généralement les banques, les écoles, les organisations manufacturières et les sociétés de gestion d’événements.
En ce qui concerne le paiement, le groupe exigerait entre 1,2 et 5 bitcoins, soit environ 30 000 à 100 000 dollars, aux prix d’aujourd’hui. Cependant, même si ces demandes sont relativement faibles par rapport à d’autres opérateurs de rançongiciels, Holy Ghost était toujours disposé à négocier et à réduire encore plus le prix, obtenant parfois seulement un tiers de ce qu’il avait initialement demandé.
Même si des choses comme la fréquence des attaques ou le choix de la cible ont fait penser aux chercheurs que Holy Ghost n’est pas un acteur parrainé par l’État, il existe des liens avec le gouvernement. Microsoft a découvert que le groupe communiquait avec le groupe Lazarus, qui est un acteur connu parrainé par l’État. De plus, les deux groupes « opéraient à partir du même ensemble d’infrastructures et utilisaient même des contrôleurs de logiciels malveillants personnalisés portant des noms similaires ».
Via : BleepingComputer (s’ouvre dans un nouvel onglet)