H0lyGh0st ransomware
H0lyGh0st Ransomware è una minaccia preoccupante che viene utilizzata negli attacchi contro le PMI (Piccole e Medie Imprese). Si ritiene che gli operatori della minaccia siano un gruppo di hacker nordcoreano le cui attività sono tracciate come DEV-0530 dai ricercatori di sicurezza informatica del Microsoft Threat Intelligence Center (MSTIC). Secondo le loro scoperte, il gruppo di hacker è attivo almeno da giugno 2021 ed è riuscito a infettare aziende di più paesi.
La minaccia H0lyGh0st (aka HolyGhost) è progettata per crittografare i dati trovati sui dispositivi violati e renderli completamente inutilizzabili. Ogni file bloccato verrà contrassegnato tramite l'aggiunta di '.h0lyenc' al nome originale come nuova estensione. La minaccia creerà quindi un file HTML denominato "FOR_DECRYPT.html" sul sistema infetto. L'apertura del file visualizzerà una richiesta di riscatto con le istruzioni per le vittime.
Il messaggio lasciato da H0lyGh0st Ransomware istruisce gli obiettivi interessati su come contattare principalmente gli hacker. Menziona un indirizzo e-mail a "H0lyGh0st@mail2tor.com", ma il principale canale di comunicazione sembra essere un sito Web dedicato ospitato sulla rete TOR. In genere, gli operatori della minaccia accettano pagamenti effettuati solo in Bitcoin ed eseguono uno schema di doppia estorsione. Ciò significa che oltre a bloccare i dati delle loro vittime, i criminali informatici raccolgono anche dati sensibili che minacceranno di divulgare al pubblico se le loro richieste non saranno soddisfatte.
Il testo completo della nota di H0lyGh0st Ransomware è:
'H0lyGh0st
Si prega di leggere questo testo per decrittografare tutti i file crittografati.
Non preoccuparti, puoi restituire tutti i tuoi file.
Se desideri ripristinare tutti i tuoi file, invia un'e-mail a H0lyGh0st@mail2tor.com con il tuo ID. Il tuo ID è
Oppure installa il browser e contattaci con il tuo ID o il nome della tua azienda (se tutti i PC della tua azienda sono crittografati).Il nostro sito: H0lyGh0stWebsite
Nostro servizio
Dopo aver pagato, invieremo lo sblocco con la chiave di decrittazione
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo.
L'antivirus potrebbe bloccare il nostro sblocco, quindi disabilita prima l'antivirus ed esegui lo sblocco con la chiave di decrittazione.'
