朝鮮的拉撒路（Lazarus）將國家贊助的黑客手段帶入勒索軟件

據卡巴斯基實驗室的研究人員稱，Lazarus是WannaCry蠕蟲背后的朝鮮國家黑客組織，從孟加拉國一家銀行盜竊了8100萬美元，并且對Sony Pictures進行了攻擊。該公司正尋求擴大勒索軟件的狂熱。

與Lazarus的許多早期作品一樣，VHD勒索軟件是原始的。惡意軟件花了10個小時才能完全感染一個目標的網絡。它還使用了一些非“正統的”密碼學做法，這些做法不是“嚴格安全”的，因為原始文件的模式在加密后仍然保留。該惡意軟件還似乎是由于其虛擬專用網絡的偶然感染而抓住了一名受害者。

新的勒索軟件采用“大獵殺”策略，獲利400萬美元

簡而言之，VHD不是Ryuk或WastedLocker。兩者都被稱為“大獵殺者”，因為它們的目標網絡屬于財大氣粗的組織，進入網絡后，只有經過數天或數周的艱苦監視，他們才會發起攻擊。

卡巴斯基實驗室的研究人員Ivan Kwiatkowski，Pierre Delcher和FélixAime在帖子中寫道：“很明顯，該組織無法將其他網絡團伙的效率與他們針對目標勒索軟件的即興運行方法相提并論。” “他們真的可以在部署勒索軟件的10個小時內為受害者設定適當的勒索價格嗎?他們甚至還能找出備份的位置嗎?”

APT包含勒索軟件

VHD首先引起研究人員的注意有兩個原因。首先，他們從未見過勒索軟件。另一個：其傳播技術是網絡集團的特征。具體來說，勒索軟件試圖在發現的每臺計算機上破解SMB文件共享的密碼，并在成功使用Windows Management Instrumentation將其自身執行到網絡共享時成功破解。

該方法更類似于用于攻擊Sony Pictures，Shamoon磁盤擦除活動以及破壞了2018年冬季奧運會的OlympicDestroyer惡意軟件的方法。研究人員普遍認為，這些攻擊分別是由來自朝鮮，和俄羅斯的政府支持的黑客(通常稱為APT或高級持續威脅)進行的。

研究人員寫道：“我們面臨的問題多于答案。” “我們認為這次襲擊不符合已知大型狩獵集團的慣常作案手法。此外，在遙測中，我們只能找到數量非常有限的VHD勒索軟件樣本，以及一些公共參考資料。這表明該勒索軟件家族可能不會像通常那樣在暗市論壇上廣泛交易。”

在深入研究之后，研究人員發現VHD使用基于MATA的后門，MATA是在Windows，macOS和Linux上運行的功能全面的框架。卡巴斯基實驗室(Kaspersky Lab)在上周發表的一篇文章中提供了將MATA與拉撒路緊密聯系在一起的證據。來自Malwarebytes的研究人員稱后門Dacls為獨立評估者。

“我們掌握的數據傾向于表明VHD勒索軟件不是商用的現成產品;據我們所知，拉撒路小組是MATA框架的唯一所有者，”卡巴斯基實驗室研究人員寫道。“因此，我們得出結論，VHD勒索軟件也由Lazarus擁有和運營。”

拉扎魯斯(Lazarus)對VHD的使用與該組織追求經濟動機的活動相吻合，據報道，截至去年9月，該組織已經產生了20億美元，用于資助該國的大規模毀滅性武器計劃。正如研究人員指出的那樣，VHD要趕上更先進的勒索軟件的外科攻擊和針對性攻擊，還有很長的路要走。