La famille de ransomwares VHD qui a émergé plus tôt cette année est l’œuvre de Lazarus, acteur de la menace lié à la Corée du Nord, révèlent les chercheurs en sécurité de Kaspersky.

Actif depuis plus d’une décennie et censé opérer pour le compte du gouvernement nord-coréen, Lazarus a été associé à diverses attaques à motivation financière, telles que celles ciblant les échanges de crypto-monnaie.

Plusieurs familles de malwares ont été attribuées à Lazarus au cours des derniers mois, notamment de nouvelles familles de malwares Mac et le framework de malwares multiplateformes MATA. Maintenant, Kaspersky révèle que l’acteur de la menace exploite également le ransomware VHD, qui a été observé lors de deux campagnes en mars et mai 2020.

Bien que les attaques de ransomwares aient également été attribuées à Lazarus dans le passé, les chercheurs en sécurité ont démontré que dans certains cas, l’attribution était incorrecte. Les chercheurs de Kaspersky, cependant, sont convaincus que les pirates nord-coréens ont effectivement ajouté des ransomwares à leur arsenal, ciblant les entreprises à des fins financières.

«Nous savons que Lazarus a toujours été axé sur le gain financier, cependant, depuis WannaCry, nous n’avons pas vraiment vu d’engagement avec les ransomwares», a déclaré Ivan Kwiatkowski, chercheur senior en sécurité au GReAT de Kaspersky.

Le ransomware VHD a été initialement observé lors d’une attaque en Europe, se propageant à l’intérieur des réseaux compromis en forçant brutalement le service SMB des ordinateurs identifiés à l’aide d’une «liste d’informations d’identification administratives et d’adresses IP spécifiques à la victime», explique Kaspersky.

Un partage réseau serait monté lors de la connexion réussie à une machine, et le ransomware copié et exécuté via des appels WMI, une technique qui rappelle les campagnes APT utilisant des essuie-glaces avec des capacités de vermifuge (tels que OlympicDestroyer, Sony SPE et Shamoon).

Lors d’une attaque observée en mai 2020, cependant, le ransomware VHD a été déployé sur toutes les machines du réseau en utilisant …