Bei den Angriffen wurde Geld in Form von Bitcoin erpresst.

Bild: iStock, zefart

Neu entwickelte Software Nordkoreanische Hackergruppe greift KMUs an

22.07.2022

Bereits im September 2021 attackierte die Hacker-Gruppe, die sich selbst H0lyGh0st nennt, erfolgreich weltweit einige kleine Unternehmen. Bei den Ransomware-Angriffen wurde Geld in Form von Cyptowährungen erpresst. Das Microsoft Threat Intelligence Center hat die Gruppe hinsichtlich ihrer Aktionen und Hintergründe analysiert.

Die aus Nordkorea stammende Gruppe entwickelt und verwendet seit Juni 2021 Ransomware, die ebenfalls H0lyGh0st getauft wurde. Insgesamt wurden zwei verschiedene Malware-Familien identifiziert: SiennaPurple und SiennaBlue. Bereits im September 2021 fielen den Hackern kleine Unternehmen in mehreren Ländern zum Opfer.

Vorgehen der Gruppe

Betroffen waren bislang meist kleine, aber auch mittelgroße Fertigungsbetriebe, Banken, Veranstaltungsplaner und Schulen – das Microsoft Threat Intelligence Center (MSTIC) geht daher davon aus, dass Gelegenheitsziele angegriffen wurden, also solche, bei denen es schon eine Schwachstelle in öffentlich zugänglichen Webanwendungen und Content-Management-Systemen gab.

Üblicherweise verschlüsseln die Hacker alle Dateien auf dem Zielgerät und senden eine Probe als Beweis an das Opfer. Außerdem drohen sie damit, die Daten der Opfer in den sozialen Medien zu veröffentlichen oder sie an ihre Kunden zu senden, sollte nicht rechtzeitig gezahlt werden.

Die Forderungen bleiben dabei mit einem bis fünf Bitcoin vergleichsweise niedrig, zudem ließen die Angreifer bisher mit sich verhandeln und senkten ihre Forderungen weiter ab - teilweise musste am Ende nur ein Drittel der ursprünglichen Forderung gezahlt werden.

Motivation - finanziell oder politisch?

In erster Linie scheint es um Gelderpressung zu gehen, doch auch ein politisches Motiv lässt sich nicht ausschließen, so Microsoft. Sanktionen, Dürren, die Abschottung vom Rest der Welt und schließlich Covid-19 haben die nordkoreanische Wirtschaft geschwächt. Um das auszugleichen, könnte die Regierung Angriffe in Auftrag geben, um die finanzielle Lage zu stärken und eventuell auch Technologie abzugreifen.

Dagegen spricht die Wahl der Opfer. Bei einer politisch motivierten oder gesponserten Angriffswelle wird ein breiteres Spektrum und auch lohnendere Ziele ins Visier genommen. Wahrscheinlich handelt es sich um eine sozusagen schwarzarbeitende Gruppe, die sich persönlich bereichern möchte.

Verbindungen zu anderen Gruppen

Das MSTIV geht davon aus, dass H0lyGh0st nicht allein arbeitet: Möglich wäre eine Überschneidung mit der Gruppe Plutonium, die bereits durch Verbindungen mit Aktivitätsclustern wie DarkSeoul und Andariel aufgefallen sind. Plutonium ist seit 2014 aktiv und hatte es in der Vergangenheit vor allem auf die Energie- und Verteidigungsindustrie in Indien, Südkorea und den Vereinigten Staaten abgesehen.

Ein Beweis für die Zusammenarbeit sieht das MSTIC in der Kommunikation ausfälliger und bekannter E-Mail-Konten. Das MSTIC hat außerdem beobachtet, dass beide Gruppen von derselben Infrastruktur aus operieren und benutzerdefinierte Malware-Controller mit ähnlichen Namen verwenden.

Empfohlene Maßnahmen

Microsoft hat Schutzmaßnahmen implementiert, um die verwendeten Malware-Familien über Microsoft Defender Antivirus und Microsoft Defender for Endpoint zu erkennen, unabhängig davon, wo diese vor Ort und in Cloud-Umgebungen eingesetzt werden.

Microsoft empfiehlt allen Unternehmen außerdem, proaktiv einen Plan zur Datensicherung und -wiederherstellung zu implementieren und regelmäßig zu überprüfen, um sich umfassend vor Ransomware und Erpressungsbedrohungen zu schützen.

Die verwendete Software

Zwischen Juni 2021 und Mai 2022 klassifizierte MSTIC die H0lyGh0st-Ransomware in zwei neue Malware-Familien: SiennaPurple und SiennaBlue. Beide wurden von DEV-0530 entwickelt und in Kampagnen eingesetzt.

Die beiden Familien wiederum unterteilen sich in vier Varianten: BTLC_C.exe, HolyRS.exe, HolyLock.exe und BLTC.exe. BTLC_C.exe ist in C++ geschrieben und wird als SiennaPurple klassifiziert, während die anderen in Go geschrieben sind. Alle Varianten werden in .exe kompiliert, um Windows-Systeme anzugreifen.

BLTC_C.exe ist eine portable Ransomware, die erstmals im Juni 2021 entdeckt wurde. Diese Ransomware weist im Vergleich zu allen Malware-Varianten der SiennaPurple-Familie nicht viele Funktionen auf. Wenn sie nicht als administrativer Benutzer gestartet wird, zeigt die BLTC_C.exe-Malware vor dem Beenden den folgenden hart kodierten Fehler an: „Dieses Programm kann nur mit Administratorrechten ausgeführt werden“.

Ein genauerer Blick auf die in der SiennaBlue-Ransomware verwendeten Go-Funktionen zeigte, dass die Kernfunktionalität im Laufe der Zeit um Funktionen wie verschiedene Verschlüsselungsoptionen, String-Verschleierung, Verwaltung öffentlicher Schlüssel und Unterstützung für das Internet und Intranet erweitert wurde.

Zur Originalveröffentlichung

Firmen zu diesem Artikel
Verwandte Artikel