H0lyGh0st Ransomware
Ang H0lyGh0st Ransomware ay isang nakababahalang banta na ginagamit sa mga pag-atake laban sa mga SME (Maliliit at Katamtamang Laki ng mga Negosyo). Ang mga operator ng pagbabanta ay pinaniniwalaang isang North Korean hacker group na ang mga aktibidad ay sinusubaybayan bilang DEV-0530 ng mga mananaliksik sa cybersecurity sa Microsoft Threat Intelligence Center (MSTIC). Ayon sa kanilang mga natuklasan, ang hacker outfit ay naging aktibo mula noong Hunyo 2021 at nagawang makahawa sa mga negosyo mula sa maraming bansa.
Ang banta ng H0lyGh0st (aka HolyGhost) ay idinisenyo upang i-encrypt ang data na makikita sa mga nalabag na device at gawin itong ganap na hindi magagamit. Ang bawat naka-lock na file ay mamarkahan sa pamamagitan ng pagdaragdag ng '.h0lyenc' sa orihinal nitong pangalan bilang bagong extension. Ang banta ay lilikha ng HTML file na pinangalanang 'FOR_DECRYPT.html' sa nahawaang system. Ang pagbubukas ng file ay magpapakita ng ransom note na may mga tagubilin para sa mga biktima.
Ang mensaheng iniwan ng H0lyGh0st Ransomware ay nagtuturo sa mga apektadong target kung paano makipag-ugnayan sa mga hacker pangunahin. Binanggit nito ang isang email address sa 'H0lyGh0st@mail2tor.com,' ngunit ang pangunahing channel ng komunikasyon ay lumilitaw na isang nakatuong website na naka-host sa network ng TOR. Karaniwan, ang mga operator ng pagbabanta ay tumatanggap ng mga pagbabayad na ginawa sa Bitcoin lamang at nagpapatakbo ng double-extortion scheme. Ibig sabihin, bukod sa pag-lock ng data ng kanilang mga biktima, nangongolekta rin ang mga cybercriminal ng mga sensitibong data na kanilang pagbabanta na ilalabas sa publiko kapag hindi natugunan ang kanilang mga kahilingan.
Ang buong teksto ng tala ng H0lyGh0st Ransomware ay:
'H0lyGh0st
Mangyaring Basahin ang tekstong ito upang i-decrypt ang lahat ng mga file na naka-encrypt.
Huwag mag-alala, maaari mong ibalik ang lahat ng iyong mga file.
Kung gusto mong ibalik ang lahat ng iyong mga file, Magpadala ng mail sa H0lyGh0st@mail2tor.com kasama ang iyong Id. Ang iyong ID ay
O i-install ang tor browser at makipag-ugnayan sa amin gamit ang iyong id o pangalan ng kumpanya (Kung ang lahat ng mga PC sa iyong kumpanya ay naka-encrypt).Ang aming site : H0lyGh0stWebsite
Aming serbisyo
Pagkatapos mong magbayad, magpapadala kami ng unlocker na may decryption key
Pansin!
Huwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag subukang i-decrypt ang iyong data gamit ang software ng third party, maaari itong magdulot ng permanenteng pagkawala ng data.
Ang pag-decryption ng iyong mga file sa tulong ng mga third party ay maaaring magdulot ng pagtaas ng presyo.
Maaaring harangan ng Antivirus ang aming unlocker, Kaya huwag paganahin muna ang antivirus at isagawa ang unlocker gamit ang decryption key.'
