Einer Analyse von Microsoft zufolge hat es ein nordkoreanisches Hacking-Kollektiv gegenwärtig auf diverse Windows-Systeme abgesehen. Die Ransomware mit dem Namen DEV-0530 hat es dabei auf kleinere und mittlere Unternehmen abgesehen. Allerdings wollen sich die Hacker*innen anders als sonst nicht die eigenen Taschen füllen. Stattdessen verfolgen sie ein überraschend nobles Ziel.
Hacking-Gruppe will Schere zwischen Arm und Reich schließen – mit Erpressung
Was das Microsoft Threat Intelligence Center (MSTIC) über die H0lyGh0st-Ransomware zutage gefördert hat, ließe sich womöglich mit den Worten „Idee gut, Umsetzung fragwürdig“ zusammenfassen. Eine Hacking-Gruppe aus Nordkorea, die sich selbst H0lyGh0st nennt, steckt Analysen zufolge hinter den Angriffen mit der Erpressungs-Software und ist bereits seit Juni 2021 aktiv.
Erste erfolgreiche Hacking-Kampagnen, die ebenfalls den Titel H0lyGh0st trugen, sind bereits seit September 2021 bekannt. Doch neben dem Vorgehen werden nun auch die Motive immer klarer – und überraschen.
Wie auch bei anderen Ransomware-Attacken werden die Daten auf Windows-PCs ohne Zutun der Nutzer*innen plötzlich verschlüsselt. Wollen die Unternehmen wieder an ihre Daten gelangen, müssen sie bei Angriffen durch DEV-0530 ein Lösegeld in Höhe von ein bis fünf Bitcoin zahlen (das entspricht gegenwärtig circa 20.000 bis 100.000 Euro).
Zur Überweisung wirst du im Anschluss auf eine Webseite weitergeleitet, die als Motive für die Hacking-Gruppe angibt, sie wolle die Schere zwischen Arm und Reich schließen sowie armen Leuten in Not helfen.
Weitere Ziele und Verbindungen von H0lyGh0st
Darüber hinaus gibt die Hacking-Gruppe an, die Aufmerksamkeit ihrer Opfer auf Cybersicherheit stärken zu wollen. Sie inszenieren ihre Erpressungen demnach als Taten zum Wohle der Allgemeinheit und wollen dir ebenfalls einen eigenen Vorteil suggerieren. Jedoch drohen sie auch damit, deine Daten im Netz zu veröffentlichen, wenn du nicht zahlst.
Nach Überweisung des Lösegelds steht dir sogar ein Kontaktformular zur Verfügung, falls du Probleme beim Entschlüsseln deiner Daten hast. Bei dieser Angriffsmasche für Windows handelt es sich nicht um den ersten kuriosen Hacking-Angriff. Bei der Ransomware von Goodwill wirst du ebenfalls dazu gezwungen der Allgemeinheit einen Dienst zu erweisen. Die haben drei ganz konkrete Forderungen.
Zudem konnte das Team von Microsoft nachweisen, dass es Verbindungen zwischen H0lyGh0st und dem ebenfalls nordkoreanischen Ransomware-Akteur PLUTONIUM gibt. Auch unter dem Namen DarkSeoul und Andariel bekannt fokussieren sie sich bei der Erpressung im Cyberspace eher auf die Energie- und Verteidigungsindustrie in Indien, Südkorea und den Vereinigten Staaten.
Quelle: Microsoft Threat Intelligence Center
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.