Delle azioni attribuite al gruppo APT nordcoreano Lazarus abbiamo scritto più volte su queste pagine: dal recente attacco a LinkedIn al furto di criptovalute via Telegram. Oggi i ricercatori di Kaspersky pubblicano un report secondo cui avrebbe mutato la sua strategia, concentrandosi più sul mero guadagno, partendo con la distribuzione di un ransomware identificato come VHD.
Ransomware: il gruppo Lazarus riparte da VHD
Avvistato per la prima volta tra il marzo e l’aprile di quest’anno, il codice maligno si distingue per via della capacità di replicarsi e propagarsi nei sistemi colpiti in modo piuttosto efficace sfruttando le credenziali sottratte alle vittime. Ha fino ad oggi preso di mira imprese localizzate soprattutto in Asia e in Francia. Questo il commento di Ivan Kwiatkowski, Senior Security Researcher del team GReAT di Kaspersky, utile per capire come i cybercriminali ritenuti legati a Pyongyang si stiano concentrando ora anzitutto sul lucro.
Nonostante ci fosse noto che Lazarus da sempre mira a trarre profitti economici dalla sua attività, era dalla comparsa di WannaCry che non assistevamo ad un coinvolgimento con i ransomware. Anche se questo gruppo non può eguagliare l’efficienza di altri criminali informatici che utilizzano questo approccio incentrato sul ransomware mirato, il fatto stesso che Lazarus si sia avvicinato a questo tipo di attacchi è preoccupante. I ransomware rappresentano una minaccia globale che ha implicazioni finanziarie significative per le organizzazioni vittima, alle volte si parla addirittura di chiusura dell’attività.
Rimane da chiarire se la finalità ultima di Lazarus sia davvero quella del guadagno oppure se il gruppo sta solamente sondando il campo, magari con l’obiettivo di testare le reazioni di chi opera nel territorio della cybersecurity e dei suoi bersagli. Prosegue Kwiatkowski.
Dopo queste scoperte, la domanda che ci poniamo è se questi attacchi siano un esperimento isolato o parte di una nuova tendenza e, di conseguenza, se le aziende private debbano preoccuparsi anche di essere prese di mira da threat actor sponsorizzati da uno stato. In ogni caso, le organizzazioni devono ricordare che la protezione dei dati è oggi più importante che mai. Creare back-up isolati dei dati essenziali e investire in difese reattive deve essere un must per ogni azienda.
In passato è circolata l’ipotesi che i proventi dalle azioni criminali di questo tipo potessero essere impiegate dalla Corea del Nord per finanziare il proprio programma nucleare.