Vụ việc đầu tiên có thể liên quan đến gia đình ransomware có tên Maui xảy ra vào ngày 15 tháng 4 năm 2021, nhằm vào một công ty nhà ở Nhật Bản giấu tên.
Tiết lộ từ Kaspersky được đưa ra một tháng sau khi các cơ quan an ninh mạng và tình báo Hoa Kỳ đưa ra lời khuyên về việc sử dụng dòng ransomware của các tin tặc được chính phủ Triều Tiên hậu thuẫn để nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe kể từ ít nhất là tháng 5 năm 2021.
Phần lớn dữ liệu về mô hình hoạt động của nó đến từ các hoạt động ứng phó sự cố và phân tích ngành đối với một mẫu Maui cho thấy thiếu “một số tính năng chính” thường liên quan đến hoạt động của ransomware-as-a-service (RaaS).
Maui không chỉ được thiết kế để được thực thi thủ công bởi một tác nhân từ xa thông qua giao diện dòng lệnh, nó cũng đáng chú ý vì không bao gồm ghi chú tiền chuộc để cung cấp hướng dẫn khôi phục.
Sau đó, Bộ Tư pháp thông báo thu giữ số Bitcoin trị giá 500.000 USD đã bị tống tiền từ một số tổ chức, bao gồm cả hai cơ sở chăm sóc sức khỏe ở các bang Kansas và Colorado của Hoa Kỳ, bằng cách sử dụng chủng ransomware.
Trong khi các cuộc tấn công này nhắm vào các nhóm đe dọa dai dẳng tiên tiến của Triều Tiên, công ty an ninh mạng của Nga đã liên kết tội phạm mạng với độ tin cậy thấp đến trung bình với một nhóm con của Lazarus được gọi là Andariel, còn được gọi là Chiến dịch Troy, Silent Chollima và Stonefly.
“Khoảng mười giờ trước khi triển khai Maui cho hệ thống mục tiêu ban đầu [on April 15]nhóm đã triển khai một biến thể của phần mềm độc hại Dtrack nổi tiếng tới mục tiêu, trước đó là 3 tháng trước đó “, các nhà nghiên cứu Kurt Baumgartner và Seongsu Park của Kaspersky cho biết.
Dtrack, còn được gọi là Valefor và Preft, là một trojan truy cập từ xa được nhóm Stonefly sử dụng trong các cuộc tấn công gián điệp của chúng để lấy thông tin nhạy cảm.
Cần chỉ ra rằng backdoor, cùng với 3proxy, đã được kẻ đe dọa triển khai chống lại một công ty kỹ thuật hoạt động trong lĩnh vực năng lượng và quân sự vào tháng 2 năm 2022 bằng cách khai thác lỗ hổng Log4Shell.
Symantec, một bộ phận của Broadcom Software, cho biết: “Stonefly chuyên thực hiện các cuộc tấn công có mục tiêu có chọn lọc cao nhằm vào các mục tiêu có thể mang lại thông tin tình báo để hỗ trợ các lĩnh vực quan trọng về mặt chiến lược như năng lượng, hàng không vũ trụ và thiết bị quân sự”, Symantec, một bộ phận của Broadcom Software, cho biết vào tháng 4.
Hơn nữa, Kaspersky nói rằng mẫu Dtrack được sử dụng trong sự cố Maui của Nhật Bản cũng được sử dụng để vi phạm nhiều nạn nhân ở Ấn Độ, Việt Nam và Nga từ tháng 12 năm 2021 đến tháng 2 năm 2021.
Các nhà nghiên cứu cho biết: “Nghiên cứu của chúng tôi cho thấy người này khá cơ hội và có thể gây tổn hại cho bất kỳ công ty nào trên thế giới, bất kể ngành nghề kinh doanh của họ là gì, miễn là công ty đó có tình hình tài chính tốt,” các nhà nghiên cứu cho biết.
Đây không phải là lần thử đầu tiên của Andariel với ransomware như một phương tiện để thu lợi nhuận về tiền tệ cho quốc gia bị trừng phạt. Vào tháng 6 năm 2021, một thực thể Hàn Quốc được tiết lộ đã bị lây nhiễm bởi phần mềm độc hại mã hóa tệp tin theo một quy trình lây nhiễm nhiều giai đoạn phức tạp bắt đầu với một tài liệu Word được vũ khí hóa.
Vào tháng trước, microsoft đã tiết lộ rằng một nhóm mối đe dọa mới nổi có liên quan đến Andariel đã sử dụng một chủng ransomware được gọi là H0lyGh0st trong các cuộc tấn công mạng nhắm vào các doanh nghiệp nhỏ kể từ tháng 9 năm 2021.
.
