Holy Ghost Fidye Saldırılarının Arkasında Kuzey Koreli Hacker’lar Mı Var?

Bir yıldan fazla bir süredir Kuzey Koreli bilgisayar korsanları, çeşitli ülkelerdeki küçük işletmelere saldırıyor ve HolyGhost adlı bir fidye yazılımı ile sistemleri şifreliyorlar. Microsoft Tehdit İstihbarat Merkezi’ndeki (MSTIC) araştırmacılar, Holy Ghost fidye yazılımı çetesini DEV-0530 olarak takip ediyor. Microsoft tarafından SiennaPurple (BTLC_C.exe) olarak sınıflandırılan Holy Ghost fidye yazılımı Ekim 2021’de ortaya çıkan Go-tabanlı sürümlerle karşılaştırıldığında diğerinden daha fazla özelliğe sahip olmadığı görünüyor. Microsoft, yeni varyantları SiennaBlue (HolyRS.exe, HolyLocker.exe ve BTLC.exe) olarak izliyor ve işlevlerinin zamanla birden fazla şifreleme seçeneği, dizin gizleme, ortak anahtar yönetimi ve internet/intranet desteği içerecek şekilde genişlediğini belirtiyor.

Kurbanlar arasında bankalar, okullar, üretim kuruluşları ve etkinlik ve toplantı planlama şirketleri var. Bu fidye grubuda diğerleri gibi sistemleri şifreleyerek bir fidye notu bırakıyor ve 1,2 ila 5 bitcoin arasında veya mevcut döviz kuru üzerinden yaklaşık 100.000 dolara kadar ödeme talep ediyor.

Kuzey Kore ile bağlantı

Microsoft’ta göre, Kuzey Kore için çalışan bilgisayar korsanları bunu kişisel mali kazanç için kendi başlarına yapıyor olabilir. MSTIC, Holy Ghost’a ait e-posta hesapları ile Kuzey Kore’nin Genel Keşif Bürosu’na bağlı Lazarus Grubu ile bağlantılı Andariel fidye çetesi arasında iletişim bulduğu ve devlet destekli hacker gruplarıyla bağlantıların mevcut olabileceğini belirtiyor. Araştırmacılar, iki grup arasındaki bağlantının, her ikisinin de “aynı altyapı ekipleri ile çalışması ve hatta benzer adlara sahip özel kötü amaçlı yazılım kullanması” gibi benzerlikler ile daha da güçlendiğini söylüyor.

Fidye çetesi, grubunun sözde motivasyonu “zengin ve fakir arasındaki uçurumu kapatmak” ve “fakir ve aç insanlara yardım etmek” olduğu belirtiyor..

Kaynak: bleepingcomputer.com