Los investigadores del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) tienen sus sospechas de quién podría estar detrás del grupo de ransomware Holy Ghost (H0lyGh0st), uno de los últimos en surgir.
Este grupo, denominado también DEV-0530, habría iniciado sus operaciones el mes pasado y se sirve de distintas técnicas de cifrado, junto con la gestión de claves públicas.
No obstante, algunos de sus archivos tendrían mayor antigüedad. El HolyRS.exe se detectó en octubre del año pasado, mientras HolyLocker.exe se encontró en marzo y BTLC.exe en abril.
El principal objetivo del colectivo de cibermalos sería la infraestructura digital de las pequeñas y medianas empresas en varios países.
Su modus operandi es robar los datos primero y, posteriormente, cifrar toda la base de datos hasta que las víctimas pagan el rescate en Bitcoin o Monero. Les amenazan con publicar toda esa información si no pasan por caja. Es decir, es un ataque de doble extorsión en toda regla.
Algo curioso es que este grupo exigen una pequeña cantidad en estas criptomonedas y están dispuestos a negociar la cantidad del rescate. Esto es algo poco habitual que puede indicar que no tienen una necesidad acuciante por financiarse mediante la extorsión.
En estas primeras semanas de actividad Holy Ghost se ha centrado en empresas que operan en sectores como la fabricación, las finanzas y la educación. También han atacado compañías de organización de eventos y de encuentros.
Hackers pluriempleados que quieren ganar un dinerillo extra
“Según las observaciones geopolíticas de expertos mundiales en asuntos de Corea del Norte y observaciones circunstanciales, los analistas de Microsoft evalúan que el uso de ransomware por parte de actores con sede en Corea del Norte probablemente esté motivado por dos posibles objetivos. La primera posibilidad es que el gobierno de Corea del Norte patrocine esta actividad”. concluye Microsoft.
“Para compensar las pérdidas de estos reveses económicos, el gobierno de Corea del Norte podría haber patrocinado a ciberdelincuentes que robaron de bancos y billeteras de criptomonedas durante más de cinco años. Si el gobierno de Corea del Norte está ordenando estos ataques de ransomware, entonces los ataques serían otra táctica que el gobierno ha habilitado para compensar las pérdidas financieras", añaden.
La compañía de Redmond también apunta que la actividad patrocinada por el estado contra las organizaciones de criptomonedas generalmente se ha dirigido a un conjunto de víctimas mucho más amplio que el observado. Por ello, opina que "es igualmente posible que el gobierno de Corea del Norte no permita o apoye estos ataques de ransomware. Las personas vinculadas a la infraestructura y las herramientas de PLUTONIUM podrían trabajar como segundo empleo para conseguir un beneficio personal. Esta teoría del pluriempleo podría explicar la selección a menudo aleatoria de víctimas a las que apunta DEV-0530", concluye.