Todo apunta a que el grupo Lazarus está del ransomware VHD

Kaspersky Lab advirtió a los usuarios de Windows, Linux y macOS que Lazarus, un grupo de cibercriminales que supuestamente opera desde Corea del Norte, ha lanzado un marco de malware multipropósito, llamado MATA, para apuntar a sus máquinas.

Se cree que Lazarus es responsable de los principales ataques en línea, incluido el atraco al ciberbanco de Bangladesh por 80 millones de dólares y el hackeo de Sony Pictures en 2014.

El grupo ha resurgido una vez más con el llamado ransomware VHD, un programa malicioso diseñado para extorsionar a sus víctimas, que se destacó por su método de autorreplicación.

La campaña de malware fue descubierta por Kaspersky , que también señaló que el nuevo malware se utilizó en dos ataques separados. La compañía rusa dice que los últimos ataques son diferentes de otras operaciones de phishing de Lazarus, ya que utilizan códigos novedosos para infectar máquinas.

La nueva campaña de Lazarus se vio por primera vez después de haber comprometido con éxito a algunas empresas en Europa, aunque no dio muchas pistas sobre quién estaba detrás de ella. Luego, los investigadores descubrieron una segunda campaña de ransomware VHD entre marzo y mayo de 2020, que proporcionó una imagen completa de la cadena de infección y les permitió vincular el ransomware con Lazarus.

“Entre otras cosas, y lo más importante, los atacantes usaron una puerta trasera, que era parte de un marco multiplataforma llamado MATA, que Kaspersky informó recientemente en profundidad y está vinculado al mencionado actor de amenaza debido a una serie de códigos y utilidades. similitudes «, dijo Kaspersky.

Sin embargo, lo más alarmante es que el ransomware VHD, que encripta los documentos personales que se encuentran en la computadora de la víctima, se propaga automáticamente. El uso de este malware de una utilidad de difusión, compilada con credenciales específicas de la víctima, recordaba las campañas de APT. Luego muestra un mensaje que ofrece descifrar los datos si el pago en Bitcoin se realiza con las instrucciones que se colocan en el escritorio de la víctima en el archivo de texto HowToDecrypt.txt.

Kaspersky explica además: «Si bien no se determinó el actor detrás de los ataques, nuestros investigadores han vinculado el ransomware VHD con Lazarus, luego del análisis de un incidente en el que se utilizó junto con herramientas conocidas de Lazarus contra empresas en Francia y Asia.»

El informe continúa diciendo que los titulares de criptomonedas deben ser especialmente cuidadosos porque es casi imposible recuperar el dinero robado.