Selon un rapport publié aujourd’hui par les chercheurs de Kaspersky, des hackers soutenus par la Corée du Nord ont suivi le développement du groupe Lazarus et utilisent activement le ransomware VHD contre des cibles d’entreprise.

Les chercheurs ont trouvé des échantillons de ransomwares VHD entre mars et mai 2020 au cours de deux enquêtes, déployés sur le réseau à l’aide d’un outil de propagation par force brute pour les PME et du cadre de logiciels malveillants MATA (également connu sous le nom de Dacls).

«Sur le plan fonctionnel, VHD est un outil de ransomware assez standard. Il se faufile dans les lecteurs connectés à l’ordinateur d’une victime, crypte les fichiers et supprime tous les dossiers d’informations sur le volume système (sabotant ainsi les tentatives de restauration du système sous Windows)», indique le rapport.

« De plus, il peut suspendre des processus susceptibles de protéger des fichiers importants contre toute modification (comme Microsoft Exchange ou SQL Server). »

Liens vers des hackers nord-coréens

En analysant les deux incidents, les chercheurs de Kaspersky ont pu déterminer l’ensemble de la chaîne d’infection des ransomwares VHD en commençant par l’accès des attaquants au réseau de leurs victimes après avoir exploité avec succès des passerelles VPN vulnérables.

Ensuite, ils ont augmenté leurs privilèges sur les appareils compromis et installé une porte dérobée, qui fait partie du cadre de logiciels malveillants MATA multi-plateforme et modulaire.

Kaspersky a lié le framework MATA aux hackers Lazarus sur la base de noms de fichiers orchestrateurs uniques utilisés dans les versions du cheval de Troie Manuscrypt (également connu sous le nom de Volgmer).

Une fois la porte dérobée déployée, elle a permis aux attaquants de prendre le contrôle du serveur Active Directory de leurs victimes, ce qui a permis de fournir des charges utiles de ransomware VHD à tous les systèmes du réseau en 10 heures à l’aide d’un chargeur basé sur Python.

Kaspersky a attribué le ransomware VHD au groupe Lazarus sur la base des outils utilisés pour déployer le ransomware dans le cadre des deux attaques …