(Foto av Carl Court / Getty Images) De nordkoreanska hackarna som påstås ligga bakom WannaCry-utbrottet 2017 tycks doppa tårna tillbaka för att starta ransomware-attacker.
Kaspersky Lab undersökte två attacker tidigare i år med VHD-ransomwarestammen.
Bevis som lämnats bakom visar att de skyldiga använde ett unikt hackverktyg som har knutits till andra intrång som tillskrivs den nordkoreanska hackingen som kallas Lazarus.
Attacken har gjort att Kaspersky Lab är oroligt för landets statssponsrade hackare att kunna förbereda andra ransomware-attacker.
Nordkorea har redan skylts för många cyberintrång som har stulit medel från banker och kryptovalutabörser.
Landets hackare har dock i allmänhet avstått från att tillgripa ransomware, som kan kryptera datorns filer och hålla dem som gisslan såvida du inte betalar en avgift.
Det enda undantaget är WannaCry, som attackerade hundratusentals sårbara Windows-maskiner i maj 2017.
Medan WannaCry utmärktes av att sprida sig över hela världen, byggdes själva ransomware-komponenten luddigt och kunde inte säga vilka offer som faktiskt skickade Bitcoin för att betala lösen.
.
Samma övergrepp krävde endast att offrar betalar 300 eller 600 dollar per infekterad dator.
Andra högprofilerade ransomware-attacker kan kräva sex siffror eller mer när den skadliga koden kan kryptera datorer som tillhör ett företag eller sjukhus.
"Vi har vetat att Lazarus alltid har varit fokuserad på ekonomisk vinst, men sedan WannaCry hade vi inte riktigt sett något engagemang med ransomware", säger Kaspersky Lab-forskaren Ivan Kwiatkowski i ett uttalande.
Det kan dock inte längre vara fallet.
I mars undersökte Kaspersky Lab en Windows-baserad VHD-ransomware-incident som drabbade ett offer i Europa.
"Själva ransomware är inget speciellt: det är skrivet i C ++ och genomsöker alla anslutna diskar för att kryptera filer och ta bort alla mappar som heter" System Volume Information "(som är länkade till Windows återställningsfunktion)," skrev säkerhetsföretaget i sin rapport .
Ändå märkte Kaspersky Lab att VHD sprider sig över offrens nätverk genom tekniker som nordkoreanska hackare har använt i tidigare attacker.
I maj undersökte säkerhetsföretaget en andra VHD-attack i Asien, där företaget kunde samla en fullständig bild av hur ransomware-stammen smittade och sprids över offrets nätverk.
Bevisen avslöjade användningen av det nordkoreanska hackverktyget, som fungerade som en bakdörr.
(Kredit: Kaspersky Lab) "I det här fallet tror vi att initial åtkomst uppnåddes genom opportunistisk exploatering av en sårbar VPN-gateway," sa Kaspersky Lab.
”Därefter fick angriparna administrativa behörigheter, drev ut en bakdörr på det komprometterade systemet och kunde ta över Active Directory-servern.
De distribuerade sedan VHD-ransomware till alla maskiner i nätverket.
”
Kaspersky är övertygad om att endast en hackinggrupp var inne i offrenas nätverk.
Men andra detaljer om attacken är fortfarande ett mysterium.
Till exempel vägrade Kaspersky Lab att identifiera offren eller kommentera hur mycket VHD-ransomware begärde.
Företaget noterar ändå att en av attackerna utplacerades på ett "hit-and-run"-sätt som involverade ransomware som distribuerades på 10 timmar.
Andra ransomware-angripare utforskar sina offres nätverk i dagar eller veckor för att avgöra vad de ska kryptera och hur mycket pengar man ska kräva.
"Frågan vi måste ställa oss är om dessa attacker är ett isolerat experiment eller en del av en ny trend och följaktligen om privata företag måste oroa sig för att bli offer för statligt sponsrade hotaktörer," tillade Kwiatkowski.
(Foto av Carl Court / Getty Images) De nordkoreanska hackarna som påstås ligga bakom WannaCry-utbrottet 2017 tycks doppa tårna tillbaka för att starta ransomware-attacker.
Kaspersky Lab undersökte två attacker tidigare i år med VHD-ransomwarestammen.
Bevis som lämnats bakom visar att de skyldiga använde ett unikt hackverktyg som har knutits till andra intrång som tillskrivs den nordkoreanska hackingen som kallas Lazarus.
Attacken har gjort att Kaspersky Lab är oroligt för landets statssponsrade hackare att kunna förbereda andra ransomware-attacker.
Nordkorea har redan skylts för många cyberintrång som har stulit medel från banker och kryptovalutabörser.
Landets hackare har dock i allmänhet avstått från att tillgripa ransomware, som kan kryptera datorns filer och hålla dem som gisslan såvida du inte betalar en avgift.
Det enda undantaget är WannaCry, som attackerade hundratusentals sårbara Windows-maskiner i maj 2017.
Medan WannaCry utmärktes av att sprida sig över hela världen, byggdes själva ransomware-komponenten luddigt och kunde inte säga vilka offer som faktiskt skickade Bitcoin för att betala lösen.
.
Samma övergrepp krävde endast att offrar betalar 300 eller 600 dollar per infekterad dator.
Andra högprofilerade ransomware-attacker kan kräva sex siffror eller mer när den skadliga koden kan kryptera datorer som tillhör ett företag eller sjukhus.
"Vi har vetat att Lazarus alltid har varit fokuserad på ekonomisk vinst, men sedan WannaCry hade vi inte riktigt sett något engagemang med ransomware", säger Kaspersky Lab-forskaren Ivan Kwiatkowski i ett uttalande.
Det kan dock inte längre vara fallet.
I mars undersökte Kaspersky Lab en Windows-baserad VHD-ransomware-incident som drabbade ett offer i Europa.
"Själva ransomware är inget speciellt: det är skrivet i C ++ och genomsöker alla anslutna diskar för att kryptera filer och ta bort alla mappar som heter" System Volume Information "(som är länkade till Windows återställningsfunktion)," skrev säkerhetsföretaget i sin rapport .
Ändå märkte Kaspersky Lab att VHD sprider sig över offrens nätverk genom tekniker som nordkoreanska hackare har använt i tidigare attacker.
I maj undersökte säkerhetsföretaget en andra VHD-attack i Asien, där företaget kunde samla en fullständig bild av hur ransomware-stammen smittade och sprids över offrets nätverk.
Bevisen avslöjade användningen av det nordkoreanska hackverktyget, som fungerade som en bakdörr.
(Kredit: Kaspersky Lab) "I det här fallet tror vi att initial åtkomst uppnåddes genom opportunistisk exploatering av en sårbar VPN-gateway," sa Kaspersky Lab.
”Därefter fick angriparna administrativa behörigheter, drev ut en bakdörr på det komprometterade systemet och kunde ta över Active Directory-servern.
De distribuerade sedan VHD-ransomware till alla maskiner i nätverket.
”
Kaspersky är övertygad om att endast en hackinggrupp var inne i offrenas nätverk.
Men andra detaljer om attacken är fortfarande ett mysterium.
Till exempel vägrade Kaspersky Lab att identifiera offren eller kommentera hur mycket VHD-ransomware begärde.
Företaget noterar ändå att en av attackerna utplacerades på ett "hit-and-run"-sätt som involverade ransomware som distribuerades på 10 timmar.
Andra ransomware-angripare utforskar sina offres nätverk i dagar eller veckor för att avgöra vad de ska kryptera och hur mycket pengar man ska kräva.
"Frågan vi måste ställa oss är om dessa attacker är ett isolerat experiment eller en del av en ny trend och följaktligen om privata företag måste oroa sig för att bli offer för statligt sponsrade hotaktörer," tillade Kwiatkowski.
