H0lyGh0st Ransomware
H0lyGh0st Ransomware on huolestuttava uhka, jota käytetään hyökkäyksissä pk-yrityksiä (pieniä ja keskisuuria yrityksiä) vastaan. Uhan toimijoiden uskotaan olevan pohjoiskorealainen hakkeriryhmä, jonka toimintaa Microsoft Threat Intelligence Centerin (MSTIC) kyberturvallisuustutkijat seuraavat nimellä DEV-0530. Heidän havaintojensa mukaan hakkeriporukka on ollut aktiivinen ainakin kesäkuusta 2021 lähtien ja on onnistunut tartuttamaan yrityksiä useista maista.
H0lyGh0st (alias HolyGhost) -uhka on suunniteltu salaamaan rikotuista laitteista löydetyt tiedot ja tekemään niistä täysin käyttökelvottomia. Jokainen lukittu tiedosto merkitään lisäämällä '.h0lyenc' sen alkuperäiseen nimeen uutena tunnisteena. Uhka luo sitten tartunnan saaneeseen järjestelmään HTML-tiedoston nimeltä FOR_DECRYPT.html. Kun tiedosto avataan, näkyviin tulee lunnaita koskeva ilmoitus, jossa on ohjeita uhreille.
H0lyGh0st Ransomwaren jättämä viesti opastaa kohteena olevia kohteita, miten hakkereihin otetaan ensisijaisesti yhteyttä. Siinä mainitaan sähköpostiosoite osoitteessa 'H0lyGh0st@mail2tor.com', mutta tärkein viestintäkanava näyttää olevan TOR-verkossa isännöity verkkosivusto. Tyypillisesti uhan operaattorit hyväksyvät vain Bitcoinissa suoritetut maksut ja käyttävät kaksoiskiristysjärjestelmää. Tämä tarkoittaa, että uhriensa tietojen lukitsemisen lisäksi kyberrikolliset keräävät myös arkaluontoisia tietoja, jotka he uhkaavat luovuttaa yleisölle, jos heidän vaatimuksiaan ei täytetä.
H0lyGh0st Ransomwaren huomautuksen koko teksti on:
'H0lyGh0st
Lue tämä teksti purkaaksesi kaikkien salattujen tiedostojen salauksen.
Älä huoli, voit palauttaa kaikki tiedostosi.
Jos haluat palauttaa kaikki tiedostosi, lähetä sähköpostia osoitteeseen H0lyGh0st@mail2tor.com tunnuksellasi. Henkilötunnuksesi on
Tai asenna tor-selain ja ota meihin yhteyttä tunnuksellasi tai yrityksen nimellä (jos kaikki yrityksesi tietokoneet ovat salattuja).Sivustomme: H0lyGh0stWebsite
Palvelumme
Kun olet maksanut, lähetämme lukituksen avaimen salauksenpurkuavaimella
Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolten avulla voi nostaa hintaa.
Virustentorjunta saattaa estää lukituksen avaustoiminnon, joten poista virustorjunta ensin käytöstä ja suorita lukituksen avaus salauksenpurkuavaimella.
