O Governo da Coreia do Norte terá encontrado nos ransomwares uma boa arma de financiar o regime que estará a ser utilizada em ataques que visam a obtenção de recursos para projetos militares.
De acordo com um relatório da Kaspersky, uma das principais especialistas em segurança digital do mundo, trata-se do VHD, malware capaz de se espalhar rapidamente pelas redes corporativas de forma a causar o máximo de estrago num curto espaço de tempo.
A Kaspersky associa o VHD ao grupo Lazarus, uma equipa de hackers notoriamente ligada ao governo da Coreia do Norte, que, agora, estará a utilizar o ransomware para financiar os projetos militares do regime de Kim Jong-un.
O VHD trabalha com ataques de força bruta, tentando descobrir senhas de máquinas conectadas à Internet. Quando tem sucesso, o ransomware usa os próprios recursos da rede para espalhar-se pelos servidores, localizando arquivos e bloqueando completamente o seu acesso.
De acordo com relatório da Kaspersky, num dos casos confirmados, passaram-se apenas 10 horas entre a infeção inicial e a tomada completa da infraestrutura.
Foi esse caso que chamou a atenção dos investigadores, que estranharam a forma como a operação aconteceu. Foi um golpe em grande escala, mas feito de forma diferente dos ataques deste tipo, normalmente direcionados, com amplo planejmento e até fases de “dormência”, em que o malware passa um tempo na rede a analisar os dados mais populares antes de agir.
De acordo com o Canaltech, no rol de golpes famosos orquestrados pelo grupo estão o WannaCry, que parou infraestruturas de todo o mundo depois de ser disseminado em massa, e a intrusão aos servidores da Sony Pictures, que levou não só ao bloqueio de dados da produtora, como também à fuga de informações.
Em ambos os casos, o objetivo era obter recursos para financiar o regime da Coreia do Norte.
A Lazarus terá conseguido angariar cerca de dois mil milhões de dólares até setembro de 2019, fruto dos ataques de ransomware executados pelos hackers. O VHD representaria uma intensificação desses esforços com um malware desenvolvido do zero, já que não é vendido em mercados voltados par hackers nem utilizado por outros grupos.
A Kaspersky fala ainda numa experiência que parece estar ainda nos seus dias iniciais, com poucos relatos de ocorrências. De acordo com os investigadores, uma disseminação maior deve indicar se a operação está a ser lucrativa para os criminosos, com o sucesso de tentativas passadas a indicar que os ransomwares se tornaram uma opção bastante interessante aos olhos dos hackers norte-coreanos.