Microsoft ka zbuluar një seri sulmesh ransomware të kryera nga një grup kriminelësh kibernetikë të Koresë së Veriut kundër bizneseve të vogla në disa vende. Banda HolyGhost duket se ka lidhje me Plutonium, një grup tjetër koreano-verior. Kompania Redmond në fakt ka identifikuar një shkëmbim emailesh dhe përdorimin e së njëjtës infrastrukturë, megjithëse ato kanë objektiva të ndryshëm (objektivat e Plutonium janë industri të mëdha që operojnë në sektorët e energjisë dhe të mbrojtjes).
HolyGhost: SiennaPurple dhe SiennaBlue
HolyGhost vjen në dy versione (SiennaPurple dhe SiennaBlue) për një total prej katër variante (një i shkruar në C ++ dhe tre në Go). Të gjitha zbulohen dhe bllokohen nga Microsoft Defender dhe zgjidhje të tjera sigurie, duke përfshirë ato nga Bitdefender. Natyrisht qëllimi i kriminelëve kibernetikë është të vjedhin të dhëna, të ekzekutojnë ransomware dhe të kërcënojnë zbulimin e tyre nëse shpërblesa nuk paguhet në Bitcoin.
SiennaPurple, versioni më pak i plotë, u përdor rreth një vit më parë. Aktualisht (anketimi i fundit daton në maj) përdoret SiennaBlue. Veçoritë e avancuara përfshijnë opsione të shumta të enkriptimit, errësimin e kodit, Internetin dhe mbështetjen e Intranetit. Dobësia CVE-2022-26352 në disa aplikacione ueb dhe CMS ndoshta është shfrytëzuar për të fituar akses fillestar në rrjetin e brendshëm.
Pas kriptimit të skedarëve, një skedar HTML kopjohet dhe dërgohet një email për të informuar viktimën dhe për të kërkuar pagesën e shpërblimit. Zakonisht kërkesa varion midis 1.2 dhe 5 Bitcoin, por është e mundur të përfitoni një zbritje gjatë fazës së negociatave. Megjithatë, për momentin, portofoli dixhital i kriminelëve kibernetikë është bosh.
Microsoft rekomandon zbatimin e një plani rezervë dhe rikuperimi të të dhënave, përdorimin e vërtetimit me shumë faktorë dhe instalimin e një zgjidhje sigurie.
Discussion about this post