Header Ads Widget

HolyGhost: un grupo de ransomware de Corea del Norte con el objetivo de obtener ganancias financieras

 

HolyGhost: un grupo de ransomware de Corea del Norte con el objetivo de obtener ganancias financieras

Los investigadores del Microsoft Threat Intelligence Center notaron un nuevo actor de ransomware que se dirige a las pequeñas empresas de todo el mundo, llamado HolyGhost.

Si bien vincularon a este grupo con piratas informáticos de Corea del Norte, Microsoft dijo que HolyGhost podría ser un proyecto paralelo de piratas informáticos oficiales respaldados por el estado para obtener ganancias financieras. Se ha visto seguir prácticas similares de grupos de ransomware regulares, pero exigiendo un rescate bajo e incluso negociación.

Un proyecto paralelo para ganancias financieras

Los investigadores de Microsoft en el MSTIC rastrearon una nueva banda de ransomware llamada HolyGhost, que ha estado en libertad durante más de un año, pero no logró ganar terreno como los demás. Internamente lo llamaron DEV-0530 y dijeron que la primera carga útil se implementó en junio del año pasado.

Llamaron a la primera variante de HolyGhost como SiennaPurple (BTLC_C.exe), que se ha desarrollado con el tiempo con nuevas funciones. La variante de malware de actualización, señalada como SiennaBlue (HolyRS.exe, HolyLocker.exe y BTLC.exe) por los investigadores de Microsoft, dijo que podría realizar múltiples encriptaciones, ofuscación de cadenas, administración de claves públicas y soporte para Internet/intranet.

Sin embargo, no logró ganar popularidad como otras bandas importantes de ransomware. HolyGhost sigue el conjunto habitual de un operador de ransomware promedio: tiene un sitio de fuga de datos y un esquema de doble extorsión, e incluso está dispuesto a negociar el rescate.

Después de robar los datos y cifrar las máquinas, HolyGhost envía un correo electrónico a la víctima con un enlace a la muestra de datos robados y una nota de rescate con un precio cotizado. Los investigadores dijeron que piden entre 1,2 y 5 bitcoins, o hasta unos 100.000 dólares al tipo de cambio actual.

Vincularon a este grupo con piratas informáticos de Corea del Norte, pero no directamente con el gobierno. Aunque HolyGhost se basa en la misma infraestructura, la comunicación entre cuentas de correo electrónico y otras con APT de Corea del Norte , se lo conoce como un probable proyecto paralelo de los piratas informáticos convencionales para obtener ganancias financieras.

En nombre de ayudar a las personas pobres y hambrientas, realizan ataques de ransomware en bancos, escuelas, organizaciones de fabricación y empresas de planificación de eventos y reuniones. Microsoft señaló los IoC y otras medidas para prevenir los ataques de HolyGhost.

Publicar un comentario

0 Comentarios