针对韩国多种行业的恶意软件活动被认为是一个名为Andariel据《黑客新闻》报道,朝鲜国家黑客组织所做。Lazarus黑客攻击者正在跟上潮流,扩大他们的武器库。卡巴斯基实验室在详细报告中指出:"在此活动中使用Windows命令及其选项的方式与以前相同Andariel活动几乎是一样的"。这一攻击影响了制造业、家庭网络服务、媒体和建筑业。
Andariel是Lazarus黑客组织的员之一臭名昭著,因为织和企业而臭名昭著。Lazarus和Bluenoroff2019年9月,由于对重要基础设施的敌对网络活动,美国财政部共同制裁了它。朝鲜被认为是这些黑客活动的幕后驱动力,试图渗透到韩国和世界各地的金融机构的电脑中。与此同时,它还计划了一起加密货币盗窃案,以避免对其核武器计划发展的经济制裁。
卡巴斯基的发现是基于2021年4月Malwarebytes在早期报告中。基于这些发现,网络安全公司记录了一条新的感染链,它发送钓鱼邮件,并在目标系统上放置远程访问木马(RAT)。根据最新调查,新的恶意软件以类似的方式工作。威胁者除了安装后门外,还可以将文件加密的赎金软件传递给其中一个受害者,表明有经济动机。应该指出的是,Andariel过去试图通过入侵自动取款机窃取银行卡数据获取现金或在黑市出售客户数据。
勒索软件旨在加密所有文件,但那些有系统关键扩展名称的人".exe"、".dll"、".sys"、".MSIins"和".drv"除了文件。正如预期的那样,它需要支付比特币来获得解密软件和独特的密钥来解锁加密数据。