D’après un rapport récemment partagé par le fabricant d’antivirus Kaspersky, les pirates de la Nord du Corée sont revenus à l’utilisation de ransomwares, malgré la débacle de WannaCry. En effet, des pirates informatiques nord-coréens seraient donc à l’origine d’un nouveau type de ransomware, appelé VHD.

Deux incidents ont été détaillés dans le rapport, au cours desquels des intrus ont pu accéder aux réseaux d’entreprises et ont déployé le ransomware VHD. Les experts de Kaspersky confirment que les outils ainsi que les techniques employées dans les deux intrusions sont semblables à ceux utilisés par le groupe Lazarus- un nom générique donné aux pirates informatiques travaillant pour le régime de Pyongyang.

Les techniques et les outils utilisés sont :

• framework de malwares MATA (Dacls) pour déployer VHD en tant que charge utile finale,
• techniques de déplacement à travers le réseau interne d’une victime précédemment observée dans les campagnes attribuées à Lazarus.

La différence entre VHD et WannaCry réside dans le fait que VHD est mieux codé, et que les opérateurs de Lazarus ne semblent le déployer que dans un but lucratif.

Le groupe cible de manière principale les réseaux d’entreprises de haut niveau, pour exiger de grosses rançons pour le décryptage des données. Ce procédé est connu aujourd’hui sous le nom de « big game hunting » ou « chasseur au gros gibier NDLR ».