據(jù)卡巴斯基實驗室的研究人員稱，Lazarus是WannaCry蠕蟲背后的朝鮮國家黑客組織，從孟加拉國一家銀行盜竊了8100萬美元，并且對Sony Pictures進行了攻擊。該公司正尋求擴大勒索軟件的狂熱。

與Lazarus的許多早期作品一樣，VHD勒索軟件是原始的。惡意軟件花了10個小時才能完全感染一個目標的網(wǎng)絡。它還使用了一些非“正統(tǒng)的”密碼學做法，這些做法不是“嚴格安全”的，因為原始文件的模式在加密后仍然保留。該惡意軟件還似乎是由于其虛擬專用網(wǎng)絡的偶然感染而抓住了一名受害者。

新的勒索軟件采用“大獵殺”策略，獲利400萬美元

簡而言之，VHD不是Ryuk或WastedLocker。兩者都被稱為“大獵殺者”，因為它們的目標網(wǎng)絡屬于財大氣粗的組織，進入網(wǎng)絡后，只有經(jīng)過數(shù)天或數(shù)周的艱苦監(jiān)視，他們才會發(fā)起攻擊。

卡巴斯基實驗室的研究人員Ivan Kwiatkowski，Pierre Delcher和FélixAime在帖子中寫道：“很明顯，該組織無法將其他網(wǎng)絡團伙的效率與他們針對目標勒索軟件的即興運行方法相提并論。” “他們真的可以在部署勒索軟件的10個小時內(nèi)為受害者設定適當?shù)睦账鲀r格嗎?他們甚至還能找出備份的位置嗎?”

APT包含勒索軟件

VHD首先引起研究人員的注意有兩個原因。首先，他們從未見過勒索軟件。另一個：其傳播技術是網(wǎng)絡集團的特征。具體來說，勒索軟件試圖在發(fā)現(xiàn)的每臺計算機上破解SMB文件共享的密碼，并在成功使用Windows Management Instrumentation將其自身執(zhí)行到網(wǎng)絡共享時成功破解。

該方法更類似于用于攻擊Sony Pictures，Shamoon磁盤擦除活動以及破壞了2018年冬季奧運會的OlympicDestroyer惡意軟件的方法。研究人員普遍認為，這些攻擊分別是由來自朝鮮，和俄羅斯的政府支持的黑客(通常稱為APT或高級持續(xù)威脅)進行的。

研究人員寫道：“我們面臨的問題多于答案。” “我們認為這次襲擊不符合已知大型狩獵集團的慣常作案手法。此外，在遙測中，我們只能找到數(shù)量非常有限的VHD勒索軟件樣本，以及一些公共參考資料。這表明該勒索軟件家族可能不會像通常那樣在暗市論壇上廣泛交易。”

在深入研究之后，研究人員發(fā)現(xiàn)VHD使用基于MATA的后門，MATA是在Windows，macOS和Linux上運行的功能全面的框架?？ò退够鶎嶒炇?Kaspersky Lab)在上周發(fā)表的一篇文章中提供了將MATA與拉撒路緊密聯(lián)系在一起的證據(jù)。來自Malwarebytes的研究人員稱后門Dacls為獨立評估者。

“我們掌握的數(shù)據(jù)傾向于表明VHD勒索軟件不是商用的現(xiàn)成產(chǎn)品;據(jù)我們所知，拉撒路小組是MATA框架的唯一所有者，”卡巴斯基實驗室研究人員寫道。“因此，我們得出結(jié)論，VHD勒索軟件也由Lazarus擁有和運營。”

拉扎魯斯(Lazarus)對VHD的使用與該組織追求經(jīng)濟動機的活動相吻合，據(jù)報道，截至去年9月，該組織已經(jīng)產(chǎn)生了20億美元，用于資助該國的大規(guī)模毀滅性武器計劃。正如研究人員指出的那樣，VHD要趕上更先進的勒索軟件的外科攻擊和針對性攻擊，還有很長的路要走。