ランサムウェア「ホーリーゴースト」がマイクロソフトにより北朝鮮の脅威アクターと関連づけられる

2022年7月14日（木）、マイクロソフト脅威インテリジェンスセンター（MSTIC）の研究者がレポートを公開し、北朝鮮と関係がある「ホーリーゴースト」ランサムウェアギャングを追跡していたことを明らかにしました。ホーリーゴーストは、1年以上前から活動しているランサムウェアですが、他のギャングに比べると、その攻撃は幸いにもあまり成功に至っていません。マイクロソフトがこのギャングを追跡している間、ギャングから出現したランサムウェアの亜種は4種類あり、より最近のものは2021年10月にリリースされたGoベースのバージョンです。研究者は、このギャングが、主に中小規模の企業を含む複数のターゲットを危険にさらすことに成功したと述べています。   「被害者調査から、これらの被害者は臨機目標である可能性が高いことが判明しました。MSTICは、DEV-0530が、公衆向けのWebアプリケーションやコンテンツ管理システムのCVE-2022-26352（DotCMSリモートコード実行脆弱性）などの脆弱性を悪用して、ターゲットネットワークに初期アクセスしたのではないかと推測しています」– (MSTIC) 攻撃内容については、通常1.2～5ビットコインの身代金を要求することが確認されています。しかし、交渉の結果、当初の要求額の3分の1以下にまで価格を下げることもあるようです。このグループは、北朝鮮政府が定めた一連のターゲットを狙っているのではなく、個人的な金銭的利益を得るためにこれらの攻撃を行っているのではないかという見方もあります。しかし、このランサムウェア集団「ホーリーゴースト」と、北朝鮮偵察総局傘下の「ラザルスグループ」に所属する「アンダリエル」との間には、ある関連性が指摘されています。両者が所有するメールアカウント間の通信が発見されたことにより、その関係が判明しました。さらに、両者は同じインフラで活動し、類似した名称のカスタムマルウェアコントローラーを使用していることが確認されました。   ランサムウェア集団「ホーリーゴースト」は、企業のセキュリティ態勢の改善を支援しようとする正当な組織を装うことで知名度を低く抑えようとしており、自分たちの行動の動機は、”貧富の差を縮めたい”、”貧しくて飢えた人たちを救いたい “という思いであると、リークサイトで述べています。