Более года северокорейские хакеры проводят операцию по вымогательству под названием HolyGhost, атакуя малый бизнес в разных странах.
Группа была активна довольно давно, но ей не удалось завоевать известность и финансовый успех других банд, даже если операция проводилась по тому же рецепту: двойное вымогательство в сочетании с сайтом утечки для публикации имен жертв и украденных данных.
Исследователи Microsoft Threat Intelligence Center (MSTIC) отслеживают банду вымогателей Holy Ghost как DEV-0530. В отчете, опубликованном ранее сегодня, говорится, что первая полезная нагрузка от этого злоумышленника была замечена в июне прошлого года.
Ранний вариант программы-вымогателя Holy Ghost, классифицированный как SiennaPurple (BTLC_C.exe), не имел многих функций по сравнению с последующими версиями на основе Go, появившимися в октябре 2021 года.
Microsoft отслеживает более новые варианты как SiennaBlue (HolyRS.exe, HolyLocker.exe и BTLC.exe) и отмечает, что их функциональные возможности со временем расширились, включив несколько вариантов шифрования, обфускацию строк, управление открытыми ключами и поддержку Интернета / интрасети.
Исследователи говорят, что DEV-0530 удалось скомпрометировать несколько целей, в основном малый и средний бизнес. Среди жертв были банки, школы, производственные организации, а также компании по планированию мероприятий и встреч.