Piazza Kim Il Sung a Pyongyang (Getty Images)Ci sarebbe il gruppo di cybercriminali nordcoreani Lazarus dietro alla creazione e diffusione del ransomware Vhd che ha colpito Europa e Asia all’inizio dell’anno.

Vhd è un virus in grado di crittografare i file conservati nel sistema infettato con lo scopo di estorcere una grossa somma di denaro alle vittime. Il ransomware si distingue per la sua capacità di autoreplicarsi utilizzando un metodo di diffusione simile a una Advanced persistent threat (Apt), ovvero sfruttando una funzione al cui interno sono state inserite le credenziali specifiche delle vittime.

All’inizio del 2020 le società di cybersecurity si sono trovate a fare i conti con il nuovo ransomware senza sapere chi lo manovrasse. Tra marzo e maggio alcune organizzazioni di sicurezza informatica, tra cui Kaspersky, hanno condotto diverse indagini sul ransomware Vhd partendo dal primo attacco avvenuto ai danni di alcune imprese sul suolo francese.

Gli esperti di cybersicurezza hanno notato che gli strumenti utilizzati per infettare i sistemi erano riconducibili al modus operandi del gruppo Lazarus. Sebbene le tecniche di diffusione utilizzate risultavano simili a quelle dei gruppi Apt, il ransomware impiegato era una novità e quindi esterno al mercato nero del deep-web. Questo dettaglio ha incuriosito il team investigativo di Kaspersky che, indagando poi su un secondo incidente avvenuto in Asia, ha ottenuto un quadro completo della catena d’infezione e ha collegato il ransomware ai cybercriminali di Lazarus.

“Il collegamento stabilito indicava che Lazarus fosse responsabile delle campagne del ransomware Vhd documentate finora. Inoltre, per la prima volta, si è potuto stabilire che questo gruppo ha adottato attacchi ransomware mirati a scopo di lucro avendo creato e gestito un proprio ransomware, un’attività inusuale nel cybercrime”, spiega il team dei Kaspersky Lab in un comunicato.

La nuova mossa di Lazarus di creare e distribuire ransomware indicherebbe un cambiamento di strategia dei cybercriminali, finora noti per cyber-attacchi alle reti bancomat e per avuto un ruolo nella diffusione di WannaCry, che ora mira a ottenere grandi guadagni economici.

Questo sarebbe un comportamento anomalo e preoccupante per un gruppo sponsorizzato da uno Stato, poiché non si accontenterebbe più dei soldi guadagnati grazie agli attacchi a bersagli indicati ma sceglierebbe le proprie vittime per arricchirsi indipendentemente.

“Dopo queste scoperte, la domanda che ci poniamo è se questi attacchi siano un esperimento isolato o parte di una nuova tendenza e, di conseguenza, se le aziende private debbano preoccuparsi anche di essere prese di mira da threat actor sponsorizzati da uno stato”, ha commentato Ivan Kwiatkowski, ricercatore senior in sicurezza del Great di Kaspersky (il team globale di analisi). E ha aggiunto: “In ogni caso, le organizzazioni devono ricordare che la protezione dei dati è oggi più importante che mai. Creare back-up isolati dei dati essenziali e investire in difese reattive deve essere un must per ogni azienda”.

