針對韓國多種行業的惡意軟件活動被認為是一個名為Andariel的朝鮮國家黑客組織所為。據《黑客新聞》報道,這一進展表明,Lazarus黑客攻擊者正在緊跟潮流,擴大他們的武器庫。卡巴斯基實驗室在一份詳細的報告中指出:”這次活動中使用Windows命令及其選項的方式與以前的Andariel活動幾乎相同”。這次攻擊影響了製造業、家庭網絡服務、媒體和建築業。
Andariel是Lazarus黑客組織的成員之一,因對韓國的組織和企業發動攻擊而臭名昭著。該組織與Lazarus和Bluenoroff一起,於2019年9月被美國財政部制裁,原因是對重要基礎設施進行敵對網絡活動。朝鮮據認為是這些黑客活動幕後推手,它試圖滲透到韓國和世界各地的金融機構電腦中。同時,它還策劃了加密貨幣盜竊案,試圖逃避為阻止其核武器計劃發展而實施的經濟制裁束縛。
卡巴斯基的發現建立在2021年4月Malwarebytes的一份早期報告之上。基於這些發現,這家網絡安全公司記錄了一個新的感染鏈,它分發釣魚郵件,並在目標系統上投放一個遠程訪問木馬(RAT)。根據最新的調查,新的惡意軟件以類似的方式工作。除了安裝一個後門外,威脅者還可以將文件加密的贖金軟件傳送給其中一個受害者,這表明有經濟動機。應該指出的是,Andariel過去曾試圖通過入侵自動取款機來竊取銀行卡數據獲取現金或在黑市上出售客戶數據。
該勒索軟件旨在加密所有文件,但那些帶有系統關鍵擴展名”.exe”、”.dll”、”.sys”、”.MSIins”和”.drv”的文件除外。正如預期的那樣,它要求支付比特幣以獲得一個解密軟件和一個獨特的密鑰來解鎖加密的數據。