朝鲜的Lazarus将国家支持的黑客手段引入勒索软件

卡巴斯基实验室(Kaspersky Lab)的研究人员表示，朝鲜国家黑客组织Lazarus正在寻求扩大勒索软件热潮。Lazarus是WannaCry蠕虫病毒、孟加拉国一家银行被盗8100万美元，以及索尼影业(Sony Pictures)遭受攻击的幕后黑手。

就像拉撒路早期的许多作品一样，VHD勒索软件也是粗糙的。恶意软件花了10个小时才完全感染一个目标的网络。它还使用了一些不“语义安全”的非正统加密实践，因为原始文件的模式在加密后仍然存在。该恶意软件似乎还通过偶然感染其虚拟专用网络控制了一名受害者。

简而言之，VHD不是Ryuk或WastedLocker。这两家公司都被称为“大型猎人”，因为他们的目标是财大气粗的组织的网络，在进入后，只有在进行了几天或几周的艰苦监视后才会发动袭击。

卡巴斯基实验室研究人员Ivan Kwiatkowski、Pierre Delcher和Félix Aime在一篇帖子中写道：“很明显，该组织无法与其他网络犯罪团伙的效率相提并论，因为他们对目标勒索软件采取的是打了就跑的方式。”“他们真的能在部署勒索软件的10小时内为受害者设定足够的赎金价格吗？他们甚至能找出备份的位置吗？“。

VHD首先引起研究人员的注意有两个原因。首先，他们以前从未见过勒索软件。另一个：它的传播技术不是网络犯罪集团的特征。具体地说，勒索软件试图破解它发现的每台计算机上SMB文件共享的密码，并在成功后使用Windows Management Instrumentation在网络共享上执行自身。

这种方法更类似于针对索尼影业(Sony Pictures)的攻击、ShaMoon磁盘擦除活动以及扰乱2018年冬奥会的奥林匹克·驱逐舰恶意软件。研究人员普遍认为，这些攻击分别是由来自朝鲜、伊朗和俄罗斯的政府支持的黑客实施的-通常被称为APT或高级持续威胁。

“我们面临的问题多于答案，”研究人员写道。“我们觉得这次袭击不符合已知的大型狩猎团体的惯常作案手法。此外，在我们的遥测中，我们只能找到数量非常有限的VHD勒索软件样本，以及一些公开的参考资料。这表明这个勒索软件家族可能不会像往常那样在暗盘论坛上广泛交易。“。

进一步研究后，研究人员发现VHD正在使用基于Mata的后门，Mata是一个运行在Windows、MacOS和Linux上的全功能框架。在上周发表的一篇帖子中，卡巴斯基实验室提供了将马塔与拉撒路紧密联系在一起的证据。被称为后门DACL的来自MalwareBytes的研究人员独立得出了同样的评估。

卡巴斯基实验室研究人员写道：“我们掌握的数据倾向于表明，VHD勒索软件不是商用现成产品；据我们所知，Lazarus集团是Mata框架的唯一所有者。”因此，我们得出结论，VHD勒索软件也由Lazarus拥有和运营。

Lazarus使用VHD与该组织追求经济动机的犯罪是一致的，据报道，截至去年9月，该犯罪已产生20亿美元，为该国的大规模杀伤性武器计划提供资金。正如研究人员指出的那样，如果要赶上更先进的勒索软件的外科和针对性打击，VHD还有很长的路要走。

研究人员写道：“归根结底，唯一重要的是这些操作是否为拉撒路带来了利润。”“只有时间会告诉我们，他们是全职投入狩猎，还是将其视为一次失败的实验而放弃。”