Uit de laatste rapporten blijkt dat nieuw losgeld uit Noord-Korea nu gericht is op grote bedrijven. Een elitegroep van hackers die verbonden zijn met de Noord-Koreaanse overheid hebben hun crypto-afpersingsactiviteiten actief gehouden in 2020.

De Noord-Koreaanse hackersgroep staat bekend onder de naam ‚Lazarus‘ en richtte zich in 2019 op meerdere crypto-uitwisselingen. Hun activiteiten werden gedocumenteerd in een rapport dat door Chainalysis werd gepubliceerd.

Een van de opvallende aanvallen is de creatie van een nephandelsbot. Die bot werd aan medewerkers van de DragonEx-beurs gegeven. Uit deze bevindingen blijkt dat de hackers er in maart 2019 in slaagden om ongeveer 7 miljoen dollar te stelen in verschillende cryptos van de Singapore-gebaseerde beurs.

In juni waarschuwde cybersecurity-verkoper Cyfirma voor de mogelijkheid van een massale crypto phishingcampagne die zou kunnen voortkomen uit de Noord-Koreaanse cybercriminele groep. Die campagne zou zich richten op zes landen en meer dan vijf miljoen bedrijven en individuen.

Er zijn geen bevestigde signalen die erop wijzen dat de hackers van plan zijn om de massale, wijdverbreide aanval uit te voeren.

Autoriteiten hebben gesanctioneerde medewerkers

Het is ook bekend dat de hackersgroep er sinds begin 2017 in geslaagd is om een hele $571 miljoen aan cryptos te stelen. Die gegevens zijn verkregen uit een studie die werd uitgevoerd door het cyber-criminaliteitsbedrijf Group-IB.

In maart van dit jaar besloot het Amerikaanse ministerie van Financiën, of OFAC, twee Chinezen te bestraffen die beschuldigd werden van het witwassen van crypto’s die afkomstig waren van een hack van een cryptocrpuitwisseling in 2018.

Een nieuwe Ransomware ontstaat

Een onderzoek uitgevoerd door de antivirusmaker en het malware lab, Kaspersky, kondigde op 28 juli aan dat er een nieuwe ransomware was ontwikkeld door Lazarus. De nieuwe dreiging wordt aangeduid met het acroniem VHD en is vooral gericht op de interne netwerken van bedrijven die actief zijn in de economische industrie.

De voorvechter van het veiligheidsbewustzijn bij Bitcoin Method, James McQuiggan, legde aan verslaggevers uit hoe de VHD-ransomware werkt:

„Een VHD, oftewel Virtuele Harde Schijf, is een soortgelijk concept als dat van een USB-stick. In plaats van de USB-stick fysiek in de poort van een computer te plaatsen, kan het VHD-bestand op een systeem worden gedownload om het ransomware-aanvalsproces te starten. Voor cybercriminelen hebben ze geen fysieke toegang nodig, maar alleen elektronische toegang om het bestand te downloaden. Voor dit soort aanvallen is toegang tot de systemen nodig. Door gebruik te maken van externe en kwetsbare infrastructuur of systemen, krijgen ze de benodigde toegang.“

Een Group Operating Solo Ops

Kaspersky-deskundigen speculeerden op de waarschijnlijke redenen achter de beslissing van Lazarus om solo te werken:

„We kunnen alleen maar speculeren over de reden waarom ze nu solo-operaties uitvoeren; misschien vinden ze het moeilijk om met de cybercriminaliteit onderwereld om te gaan; of misschien vonden ze dat ze het zich niet langer konden veroorloven om hun winst met derden te delen.“

Lazarus valt meestal het netwerk van een bedrijf aan met als doel zijn gegevens te versleutelen. Eenmaal succesvol vragen ze het slachtoffer om losgeld op basis van crypto en in veel gevallen geven ze de voorkeur aan Monero (XMR) betalingen.