Gli hacker di Lazarus sono un famigerato gruppo di criminali informatici presumibilmente collegato al governo nordcoreano. Durante la prima metà del 2020, hanno tenuto il passo con le loro estorsioni di criptovaluta. Ci sono rapporti emergenti da luglio, secondo i quali il gruppo ha sviluppato un nuovo ransomware in Corea del Nord che ha lo scopo di prendere di mira grandi organizzazioni in tutto il mondo.

Nel 2019, i programmatori si sono concentrati su numerosi scambi di criptovalute e le loro operazioni criminali sono state segnalate anche da molti siti: uno dei loro attacchi significativi comprendeva la creazione di un bot di trading anonimo. Il bot è stato fornito ai dipendenti di DragonEX Trade, come riportato da bitcoin trader2. Secondo le informazioni acquisite nel marzo 2019, i programmatori di Lazarus hanno rubato quasi 7 milioni di dollari in diversi gruppi di criptovaluta dallo scambio di criptovaluta di Singapore. Alcuni fatti molto interessanti sono forniti anche qui per maggiori dettagli di questo gruppo.

Possono verificarsi più attacchi. Un mese fa, un fornitore chiamato “Cyfirma cybersecurity” ha avvertito che esiste un’alta probabilità per i criminali informatici nordcoreani di avviare un tentativo di phishing di valuta digitale di altissimo valore. L’attacco può essere diretto su sei nazioni, che possono influenzare più di 5.000.000 di persone e organizzazioni. Tuttavia, per il momento, nessun segno affermato mostra che i programmatori di Lazarus intendano iniziare l’assalto maggiore. Allo stesso tempo, non si può nemmeno affermare con certezza che un simile attacco non accadrà. L’unica cosa da fare al momento è stare attenti ed essere pronti ad ogni evenienza.

Alcune persone sono state identificate: questo gruppo di hacker è noto anche per aver sottratto $ 571 milioni in criptovalute dall’inizio del 2017. È come da dati forniti da Group-IB. Le informazioni del gruppo IB relative all’organizzazione del crimine informatico mostrano che la maggior parte degli scambi presi di mira dal gruppo di hacker si trova in Corea del Sud. Includono YouBit, Coinrail e Bithumb. Nel marzo 2020, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha deciso di elencare due persone provenienti dalla Cina. Questi cittadini cinesi sono stati accusati di riciclaggio di criptovaluta per quelle criptovalute che provenivano da un attacco di phishing di criptovaluta nel 2018.

Lazarus ha prodotto un nuovo ransomware: un esame eseguito da Kaspersky e le cui scoperte sono state distribuite il 28 luglio 2020, dimostra che Lazarus ha escogitato un nuovo ransomware. Il nome di questo nuovo malware è Virtual Hard Disk (VHD). Ha lo scopo di concentrarsi sui sistemi interni delle organizzazioni che lavorano nello spazio finanziario.

• In qualsiasi momento la procedura di crittografia venga interrotta, VHD inserisce un meccanismo che può avviare le sue operazioni maliziose. In situazioni in cui sono inclusi più di 16 MB di record, il ransomware conserva tutte le informazioni crittografiche più recenti sul suo disco rigido, sotto forma di testo in chiaro. Tali dati e informazioni non vengono cancellati in modo sicuro in seguito. Ciò implica che potrebbe esserci la possibilità di recuperare una parte di questi documenti.

Esistono già alcuni approfondimenti su VHD: le società di sensibilizzazione alla sicurezza hanno studiato il loro modus operandi e sono venute a conoscere il processo in cui VHD opera all’interno di un sistema. Le informazioni ottenute da Kaspersky affermano principalmente che il ransomware VHD non è un elemento commerciale completo. Poiché il gruppo Lazarus è il principale proprietario della struttura MATA, a quel punto, il ransomware VHD è detenuto, gestito e supervisionato dagli hacker Lazarus perché il gruppo è anche l’unico proprietario che ha l’esclusività sul framework MATA.


Il gruppo Lazarus lavora in modalità solista: gli specialisti di Kaspersky hanno cercato di capire i potenziali scopi della scelta di Lazarus di lavorare in solitario. Gli hacker di Lazarus attaccano principalmente i sistemi dell’organizzazione e si concentrano sulla crittografia delle loro informazioni. Una volta che iniziano le loro aggressioni in modo efficace, cercano di ricevere pagamenti basati su crittografia dalla vittima e, nella maggior parte dei casi, chiedono che i pagamenti vengano effettuati in Monero (XMR).

Non è che le forze dell’ordine non abbiano la minima idea delle loro operazioni. Esistono ampie prove e prove del loro coinvolgimento in molti accordi dannosi e si può affermare con certezza che molto presto questo gruppo di hacker sarà adeguatamente identificato e tutte le loro attività interrotte. Per il momento, è essenziale prendere ampie precauzioni affinché non riescano nel loro tentativo.