Η Microsoft έχει συνδέσει τους Βορειοκορεάτες hackers Moonstone Sleet με επιθέσεις του ransomware FakePenny.
Οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) αυτής της ομάδας αλληλεπικαλύπτονταν σε μεγάλο βαθμό με εκείνες άλλων ομάδων της Βόρειας Κορέας. Ωστόσο, οι hackers σταδιακά υιοθέτησαν νέες μεθόδους επίθεσης, καθώς και τη δική τους custom υποδομή και εργαλεία.
Οι hackers Moonstone Sleet παρακολουθούνταν, στο παρελθόν, ως Storm-17, και χρησιμοποιούσαν διάφορες μεθόδους για να πραγματοποιήσουν επιθέσεις με στόχο την κυβερνοκατασκοπεία και το οικονομικό κέρδος. Οι hackers έχουν χρησιμοποιήσει trojanized λογισμικό (π.χ. PuTTY), κακόβουλα παιχνίδια και πακέτα npm, custom malware loaders και ψεύτικες εταιρείες ανάπτυξης λογισμικού και προσπαθούσαν να αλληλεπιδράσουν με πιθανά θύματα στο LinkedIn, στο Telegram, σε δίκτυα ανεξάρτητων επαγγελματιών ή μέσω email.
Δείτε επίσης: Τα σχολεία Center Line θύμα επίθεσης ransomware
Οι hackers Moonstone Sleet συνδέονται με το ransomware FakePenny
Τον Απρίλιο, οι hackers άρχισαν να αναπτύσσουν μια νέα παραλλαγή ransomware με το όνομα FakePenny και στόχευσαν μια εταιρεία. Ωστόσο, σε αντίθεση με προηγούμενες επιθέσεις ransomware που συντονίστηκαν από κρατικούς hackers της Βόρειας Κορέας, τα λύτρα που ζητούσαν οι Moonstone Sleet άγγιζαν το εκπληκτικό ποσό των 6,6 εκατομμυρίων δολαρίων σε BTC.
Η αξιολόγηση της Microsoft για αυτήν την επίθεση κατέληξε στο συμπέρασμα ότι το κύριο κίνητρο της Moonstone Sleet για την ανάπτυξη του ransomware FakePenny ήταν το οικονομικό κέρδος. Όμως, η προηγούμενη συμμετοχή της ομάδας σε επιθέσεις κυβερνοκατασκοπείας υποδηλώνει ότι οι επιθέσεις της επικεντρώνονται ταυτόχρονα στη δημιουργία εσόδων και στη συλλογή πληροφοριών.
Από τότε που παρατηρήθηκε για πρώτη φορά, η ομάδα έχει στοχεύσει άτομα και εταιρείες σε διάφορους κλάδους, συμπεριλαμβανομένων εταιρειών λογισμικού και τεχνολογίας, εκπαιδευτικών ιδρυμάτων και της αμυντικής βιομηχανικής βάσης.
Δείτε επίσης: Επίθεση ransomware στη Δημόσια Βιβλιοθήκη του Σιάτλ
Οι Moonstone Sleet δεν είναι οι πρώτοι Βορειοκορεάτες hackers που συνδέονται με επιθέσεις ransomware. Για παράδειγμα, οι κυβερνήσεις των ΗΠΑ και του Ηνωμένου Βασιλείου κατηγόρησαν επίσημα την ομάδα Lazarus για τις επιθέσεις με το ransomware WannaCry το 2017.
Το Ιούλιο του 2022, η Microsoft και το FBI συνέδεσαν, επίσης, Βορειοκορεάτες hackers με τη λειτουργία ransomware Holy Ghost και τις επιθέσεις ransomware Maui κατά οργανισμών υγειονομικής περίθαλψης.
“Το σύνολο τακτικών της Moonstone Sleet είναι αξιοσημείωτο όχι μόνο λόγω της αποτελεσματικότητάς τους, αλλά και λόγω του τρόπου με τον οποίο έχουν εξελιχθεί από εκείνες άλλων βορειοκορεατικών φορέων απειλών“, πρόσθεσε η Microsoft.
“Επιπλέον, η προσθήκη ransomware στο playbook της Moonstone Sleet μπορεί να υποδηλώνει ότι επεκτείνει το σύνολο των δυνατοτήτων της για να επιτρέψει καταστροφικές επιχειρήσεις“.
Δείτε επίσης: Επίθεση ransomware πλήττει τον κατασκευαστή ιατρικών συσκευών LivaNova
Προστασία από ransomware
Μια από τις πιο σημαντικές μεθόδους προστασίας είναι η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενημερωμένοι για τους τρόπους με τους οποίους το ransomware μπορεί να εισέλθει σε ένα σύστημα, όπως τα phishing emails.
Η χρήση αξιόπιστου λογισμικού antivirus είναι επίσης ζωτικής σημασίας. Το λογισμικό αυτό μπορεί να αναγνωρίσει και να απομακρύνει το ransomware πριν αυτό μπορέσει να προκαλέσει ζημιά.
Το τακτικό backup των δεδομένων είναι μια άλλη σημαντική τεχνική προστασίας. Σε περίπτωση που το σύστημα πέσει θύμα ransomware, η αποκατάσταση των δεδομένων από ένα backup μπορεί να είναι η μόνη λύση.
Η χρήση ενημερωμένων εκδόσεων λογισμικού και λειτουργικών συστημάτων είναι επίσης κρίσιμη. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τις ευπάθειες των παλαιών εκδόσεων για να εγκαταστήσουν ransomware.
Τέλος, η χρήση εργαλείων προστασίας δικτύου, όπως τα firewalls και τα συστήματα ανίχνευσης εισβολών, μπορεί να βοηθήσει στην πρόληψη των επιθέσεων ransomware.
Πηγή: www.bleepingcomputer.com
