朝鲜的拉撒路（Lazarus）将国家赞助的黑客手段带入勒索软件

据卡巴斯基实验室的研究人员称，Lazarus是WannaCry蠕虫背后的朝鲜国家黑客组织，从孟加拉国一家银行盗窃了8100万美元，并且对Sony Pictures进行了攻击。该公司正寻求扩大勒索软件的狂热。

与Lazarus的许多早期作品一样，VHD勒索软件是原始的。恶意软件花了10个小时才能完全感染一个目标的网络。它还使用了一些非“正统的”密码学做法，这些做法不是“严格安全”的，因为原始文件的模式在加密后仍然保留。该恶意软件还似乎是由于其虚拟专用网络的偶然感染而抓住了一名受害者。

新的勒索软件采用“大猎杀”策略，获利400万美元

简而言之，VHD不是Ryuk或WastedLocker。两者都被称为“大猎杀者”，因为它们的目标网络属于财大气粗的组织，进入网络后，只有经过数天或数周的艰苦监视，他们才会发起攻击。

卡巴斯基实验室的研究人员Ivan Kwiatkowski，Pierre Delcher和FélixAime在帖子中写道：“很明显，该组织无法将其他网络团伙的效率与他们针对目标勒索软件的即兴运行方法相提并论。” “他们真的可以在部署勒索软件的10个小时内为受害者设定适当的勒索价格吗?他们甚至还能找出备份的位置吗?”

APT包含勒索软件

VHD首先引起研究人员的注意有两个原因。首先，他们从未见过勒索软件。另一个：其传播技术是网络集团的特征。具体来说，勒索软件试图在发现的每台计算机上破解SMB文件共享的密码，并在成功使用Windows Management Instrumentation将其自身执行到网络共享时成功破解。

该方法更类似于用于攻击Sony Pictures，Shamoon磁盘擦除活动以及破坏了2018年冬季奥运会的OlympicDestroyer恶意软件的方法。研究人员普遍认为，这些攻击分别是由来自朝鲜，和俄罗斯的政府支持的黑客(通常称为APT或高级持续威胁)进行的。

研究人员写道：“我们面临的问题多于答案。” “我们认为这次袭击不符合已知大型狩猎集团的惯常作案手法。此外，在遥测中，我们只能找到数量非常有限的VHD勒索软件样本，以及一些公共参考资料。这表明该勒索软件家族可能不会像通常那样在暗市论坛上广泛交易。”

在深入研究之后，研究人员发现VHD使用基于MATA的后门，MATA是在Windows，macOS和Linux上运行的功能全面的框架。卡巴斯基实验室(Kaspersky Lab)在上周发表的一篇文章中提供了将MATA与拉撒路紧密联系在一起的证据。来自Malwarebytes的研究人员称后门Dacls为独立评估者。

“我们掌握的数据倾向于表明VHD勒索软件不是商用的现成产品;据我们所知，拉撒路小组是MATA框架的唯一所有者，”卡巴斯基实验室研究人员写道。“因此，我们得出结论，VHD勒索软件也由Lazarus拥有和运营。”

拉扎鲁斯(Lazarus)对VHD的使用与该组织追求经济动机的活动相吻合，据报道，截至去年9月，该组织已经产生了20亿美元，用于资助该国的大规模毁灭性武器计划。正如研究人员指出的那样，VHD要赶上更先进的勒索软件的外科攻击和针对性攻击，还有很长的路要走。