Microsoft ha scoperto una serie di attacchi ransomware effettuati da un gruppo di cybercriminali nordcoreani contro piccole aziende in diversi paesi. La gang HolyGhost sembra avere legami con Plutonium, un altro gruppo nordcoreano. L’azienda di Redmond ha infatti individuato uno scambio di email e l’uso della stessa infrastruttura, sebbene abbiano bersagli differenti (i target di Plutonium sono grandi industrie che operano nei settori dell’energia e della difesa).
HolyGhost: SiennaPurple e SiennaBlue
HolyGhost viene distribuito in due versioni (SiennaPurple e SiennaBlue) per un totale di quattro varianti (una scritta in C++ e tre in Go). Tutte sono rilevate e bloccate da Microsoft Defender e da altre soluzioni di sicurezza, incluse quelle di Bitdefender. Ovviamente lo scopo dei cybercriminali è rubare i dati, eseguire il ransomware e minacciare la loro divulgazione se non verrà pagato il riscatto in Bitcoin.
SiennaPurple, la versione meno completa, è stata utilizzata circa un anno fa. Attualmente (l’ultima rilevazione risale al mese di maggio) viene usata SiennaBlue. Tra le funzionalità avanzate ci sono multiple opzioni di cifratura, offuscamento del codice, supporto per Internet e Intranet. Per ottenere l’accesso iniziale alla rete interna è stata probabilmente sfruttata la vulnerabilità CVE-2022-26352 di alcune applicazioni web e CMS.
Dopo aver cifrato i file viene copiato un file HTML e inviata un’email per informare la vittima e chiedere il pagamento del riscatto. Solitamente la richiesta varia tra 1,2 e 5 Bitcoin, ma è possibile ottenere uno sconto durante la fase di negoziazione. Al momento però il portafoglio digitale dei cybercriminali è vuoto.
Microsoft consiglia di implementare un piano di backup e recupero dei dati, utilizzare l’autenticazione multi-fattore e installare una soluzione di sicurezza.