gerbangindonesia.org – Microsoft Bedah Hacker Korut Penyebar Ransomware Holy Ghost yang Serang Usaha Kecil. Microsoft mengaitkan penyebaran ransomware Holy Ghost ke kelompok hacker Korea Utara (Korut). Mereka diketahui udah menjalankan operasi ransomware tersebut untuk menyerang bisnis kecil di beragam negara.
Kelompok ini udah aktif lumayan lama, tapi gagal beroleh ketenaran dan keberhasilan finansial. Para peneliti di Microsoft Threat Intelligence Center (Mstic) mencari geng ransomware Holy Ghost sebagai Dev-0530.
Di dalam suatu laporan sebelumnya, mereka mengatakan bahwa muatan pertama berasal dari aktor ancaman ini terlihat th lalu terhadap Juni 2021. Demikian menurut laporan Bleeping Computer, dikutip Selasa (19/7/2022).
Diklasifikasikan sebagai Siennapurple (Btlc_C.Exe), varian ransomware Holy Ghost awal bukan punya segudang fitur dibandingkan bersama versi berbasis Go berikutnya yang muncul terhadap Oktober 2021.
Microsoft mencari varian yang lebih baru sebagai Siennablue (Holyrs.Exe, Holylocker.Exe, dan Btlc.Exe) dan mencatat bahwa fungsinya diperluas berasal dari pas ke saat untuk menyertakan sebagian opsi enkripsi, string obfuscation, manajemen kunci publik, dan pemberian internet/intranet.
Para peneliti mengatakan Dev-0530 berhasil mengkompromikan lebih dari satu sasaran, terutama bisnis kecil sampai menengah. Adapun korbannya adalah bank, sekolah, organisasi manufaktur, dan juga corporate perencanaan acara dan rendezvous.
Aktor Holy Ghost mengikuti pola agresi ransomware yang khas dan mencuri information sebelum menerapkan enkripsi terhadap platform yang terinfeksi.
Penyerang meninggalkan catatan tebusan terhadap mesin yang disusupi dan mereka juga mengirim email kepada korban bersama dengan tautan ke sampel knowledge yang dicuri untuk mengumumkan bahwa mereka bersedia menegosiasikan uang tebusan bersama dengan imbalan kunci dekripsi.
Biasanya, para pelaku menuntut pembayaran antara 1,2 sampai 5 bitcoin, atau sampai lebih kurang Us$ 100.000 bersama dengan nilai tukar selagi ini.
“Apalagi kalau permintaannya bukan besar, penyerang bersedia untuk bernegosiasi dan terkadang turunkan harga sampai tidak cukup berasal dari sepertiga berasal dari permintaan awal,” kata Microsoft Threat Intelligence Center.
Apakah Pemerintah Korut Terlibat?
Tentang taraf agresi yang sporadis dan pemilihan korban secara rambang, menguatkan teori bahwa operasi ransomware Holy Ghost kemungkinan bukan dikendalikan oleh pemerintah Korea Utara.
Sebaliknya, peretas yang bekerja untuk rezim Pyongyang barangkali melaksanakan ini sendiri, untuk laba finansial pribadi.
Koneksi bersama dengan kelompok peretas yang didukung negara dapat saja berjalan, sebab MSTIC menemukan komunikasi antara akun email milik Holy Ghost bersama Andariel, aktor ancaman bagian berasal dari Grup Lazarus di bawah Biro Generik Pengintaian Korea Utara.
“Interaksi antara kedua kelompok jadi lebih kuat bersama dengan fakta bahwa keduanya beroperasi berasal dari set infrastruktur yang mirip, dan apalagi kenakan pengontrol malware spesifik bersama dengan sebutan sama,” kata para peneliti.
Untuk diketahui, web site web site holy Ghost tengah down kala ini tapi penyerang kenakan visibilitas kecil untuk berpura-pura sebagai entitas formal, yang mencoba menolong korban menambah daya keamanan mereka.
Pada akhirnya, mereka memotivasi tindakan mereka sebagai upaya untuk ‘Menutup kesenjangan antara yang kaya dan yang miskin’. Juga untuk mendukung yang miskin dan yang kelaparan.
Layaknya aktor lain didalam usaha ransomware, Holy Ghost meyakinkan para korban bahwa mereka bukan akan menjual atau membocorkan knowledge yang dicuri kalau mereka dibayar.
Laporan Microsoft mencakup serangkaian tindakan yang direkomendasikan untuk menghambat infeksi bersama dengan muatan Holy Ghost dan juga lebih dari satu indikator kompromi yang ditemukan sementara menyelidiki malware.
Ransomware Maui
holy Ghost adalah operasi ransomware kedua yang membuka ke Korea Utara.
Pekan lalu, penasihat bersama dengan berasal dari Fbi, Cisa, dan Departemen Keuangan AS memperingatkan perihal ransomware Maui yang menargetkan organisasi perawatan kesegaran bersama pemberian pemerintah Korea Utara.
Mengutip Engadget, Jumat (8/7/2022), mereka terdeteksi mengenakan ransomware bernama Maui untuk mengenkripsi komputer organisasi perawatan kesegaran dan lantas meminta uang tebusan berasal dari para korban sehingga jaringan mereka bukan terkunci.
Info memuat mengenai Maui, terhitung indikator kompromi dan teknik yang digunakan hacker Korea Utara itu, diperoleh berasal dari sampel yang diperoleh Fbi.
Menurut penasihat Cisa, malware dieksekusi secara manual oleh aktor dursila berasal dari jeda jauh begitu berada di jaringan korban.
Di dalam hal ini CISA “Amat bukan menyarankan” membayar uang tebusan, dikarenakan bukan menjamin bahwa pelaku kejahatan akan memberi tambahan ‘Kunci’ kepada korban untuk terhubung arsip mereka.
Tapi, CISA mengakui penyerang mungkin besar akan konsisten menargetkan organisasi di sektor perawatan kebugaran.
“Aktor global maya yang disponsorikorea Utara mungkin besar menganggap organisasi perawatan kebugaran bersedia membayar uang tebusan sebab organisasi ini sediakan layanan yang benar-benar berarti bagi kehidupan dan kesegaran manusia,” kata Cisa.
Fbi, Cisa, dan kementerian keuangan sekarang mendesak penyedia layanan kesegaran untuk memakai teknik mitigasi dan mempersiapkan barangkali agresi ransomware bersama menginstal pembaruan perangkat lunak, memelihara cadangan knowledge offline, dan menyusun planning respons insiden global maya.
Awal th ini, suatu laporan PBB mengungkapkan bahwa negara itu udah mengenakan cryptocurrency yang dicuri oleh peretas–disponsori negara untuk mendanai program rudal nuklir dan balistiknya.
Hacker Korea Utara Gasak Kripto Rp 1,4 Triliun untuk Danai Program Nuklir
hacker Korea Utara juga diduga kuat berada di balik agresi siber yang mencuri USD 100 juta (Setara Rp 1,4 triliun) mata uang kripto berasal dari corporate As.
Demikian menurut laporan investigasi berasal dari tiga perusahan keamanan.
Mengutip Reuters, Kamis (30/9/2022), aset kripto itu dicuri berasal dari Horizon Bridge, layanan yang dioperasikan oleh jaringan blockchain Harmony, terhadap 23 Juni lalu.
Layanan ini amat mungkin aset kripto untuk ditransfer ke blockchain lainnya.
Sesudah proses investigasi, kegiatan menyatakan aksi pencurian ini berkaitan bersama dengan para hacker asal Korea Utara.
Para pakar mendeskripsikannya sebagai peretas siber.
Pemantau hukuman PBB mengatakan, Korea Utara barangkali mengenakan dana curian tersebut untuk menunjang program nuklir dan misilnya.
Tersedia pun gaya agresi yang dikerjakan oleh hacker diduga berasal dari Korea Utara ini berkecepatan tinggi bersama pembayaran terstruktur ke bermacam pihak, guna mengaburkan asal dana.
Chainanalysis mengungkap, agresi ini serupa bersama dengan yang dilaksanakan oleh aktor kejahatan siber Korea Utara lainnya.
Chainanalysis merupakan suatu corporate blockchain yang bekerja bersama dengan Harmony untuk menyelidiki agresi itu.
Uniknya, para peneliti keamanan siber lain mengamini kesimpulan dan hasil investigasi Chainanalysis, agar tersedia barangkali makin besar bahwa pelakunya sahih-sahih hacker Korea Utara.
“Berdasarkan konduite transaksi, awalnya peretasan ini terlihat layaknya ditunaikan oleh hacker Korea Utara,” kata Mantan Analis FBI Nick Carlsen yang kini menyelidiki pencurian mata uang kripto untuk TRM Labs.
Tersedia indikasi kuat bahwa hacker Korea Utara yang lakukan peretasan adalah Lazarus Group. Hal ini dilihat berasal dari pembawaan peretasan pencucian dana curiannya.
“Pencuri berusaha untuk meenghilangkan jejak transaksi. Hal ini membuatnya lebih gampang untuk mencairkan dana di bursa,” kata laporan investigasi.
Kecuali agresi tersebut terkonfirmasi, agresi itu akan jadi peretasan ke-delapan year ini bersama dengan keseluruhan kerugian USD 1 miliar yang perihal bersama dengan hacker Korea Utara.
