Il gruppo cyber-criminale Lazarus, legato alla Corea del Nord, sta affinando le sue tecniche di attacco ransomware – che minacciano la perdita dei dati se non si paga un riscatto – su prede finanziariamente più importanti che in passato, usando un nuovo malware. Lo rivela un report del gruppo di cybersecurity Kaspersky. Secondo il report, Lazarus è dietro un nuovo tipo di ransomware definito VHD. Funzionalmente, il VHD è uno attacco ransomware abbastanza standard: cripta i file e cancella tutti i folder di sistema, spiega il report. “Quello che fa di più – spiega ancora il report – è che può sospendere i processi che potenzialmente possono proteggere file importanti dalla modifica (come Microsoft Exchange o SQL Server)”.
Ma, secondo lo studio, la cosa più importante è nella modalità dell’attacco. In un caso studiato nel report, l’attacco è stato condotto avendo a monte una serie di informazioni sugli indirizzi IP e sui protocolli tipiche dei cosiddetti APT (Advanced Persistente Threat), cioè di attacchi mirati e persistenti nel tempo su infrastrutture informatiche più elaborate rispetto agli obiettivi di massa dei consueti ransomware. Insomma, un balzo in avanti verso vittime più ricche e protette. In un secondo caso colpisce il percorso seguito dall’attaccante. In un primo momento ha ottenuto l’accesso violando una VPN vulnerabile e ha ottenuto i diritti da amministratore di sistema. In tale veste ha installato una backdoor, ha preso il controllo del server e quindi ha infettato tutti i computer del network usando un software appositamente scritto per svolgere questa funzione.
Lazarus si colloca nell’articolato ecosistema cybercrime nordcoreano tra i gruppi non impegnati nel cyberspionaggio, ma nel reperimento di fondi per il regime di Pyongyang. Secondo il Dipartimento di Stato questi fondi sono stati utilizzati anche per il programma nucleare e missilistico nordcoreano. Il gruppo lavorerebbe per l’Ufficio generale di ricognizione, uno dei principali dipartimenti dell’articolata intelligence nordcoreana. Proprio a Lazarus è stato attribuito sia l’attacco nel 2014 alla Sony – contro l’uscita sugli schermi del film “The Interview” che metteva in scena l’uccisione del leader supremo Kim Jong Un – sia l’epidemia informatica prodotta dal ransomware WannaCry nel 2017. askanews