Los piratas informáticos de Corea del Norte han estado ejecutando una operación de ransomware durante más de un año. La nueva operación de la que hablaremos el dia de hoy se le conoce como Holy Ghost y está apuntando a pequeñas empresas en diferentes países.
Los investigadores del Microsoft Threat Intelligence Center (MSTIC) están rastreando a la banda de ransomware Holy Ghost como DEV-0530. En un informe de hoy, dicen que la primera carga útil de este actor de amenazas se vio el año pasado en junio.
Clasificada como SiennaPurple (BTLC_C.exe), la primera variante del ransomware Holy Ghost no tenía muchas funciones en comparación con las versiones posteriores basadas en Go que surgieron en octubre de 2021.
Microsoft rastrea las variantes más nuevas como SiennaBlue (HolyRS.exe, HolyLocker.exe y BTLC.exe) y señala que su funcionalidad se expandió con el tiempo para incluir múltiples opciones de encriptación, ofuscación de cadenas, administración de claves públicas y soporte de Internet.
Al igual que otras operaciones, H0lyGh0st adopta un modelo de doble extorsión que amenaza a las víctimas con publicar sus datos en caso de que no paguen el rescate. El grupo mantiene un sitio .onion , que el grupo utiliza para interactuar con sus víctimas. El ransomware Holy Ghost agrega la extensión de archivo .h0lyenc a los nombres de archivo de los archivos cifrados.
Holy Ghost ha permanecido activo durante más de un año, pero no a llamado mucho la atencion. Esto destaca los esfuerzos que hacen los atacantes para mantener sus operaciones sigilosas. Se recomienda que las compañias compartan indicadores de compromiso con su personal para mantener seguro sus datos al menos mientras se investiga el malware.
