Depuis plus d’un an, des pirates nord-coréens mènent une opération de ransomware appelée HolyGhost, attaquant des petites entreprises dans différents pays.
Les chercheurs du Microsoft Threat Intelligence Center suivent le gang du ransomware Holy Ghost sous le nom de DEV-0530.
Classée sous le nom de SiennaPurple, la première variante du ransomware Holy Ghost ne comportait pas beaucoup de fonctionnalités par rapport aux versions ultérieures basées sur Go qui sont apparues en octobre 2021.
Les acteurs de Holy Ghost ont suivi le schéma d’une attaque typique de ransomware et ont volé des données avant de déployer la routine de chiffrement sur les systèmes infectés.
Ce détail, la rareté des attaques et la sélection aléatoire des victimes renforcent la théorie selon laquelle le ransomware Holy Ghost n’est peut-être pas contrôlé par le gouvernement nord-coréen.
Le lien avec les groupes de pirates informatiques soutenus par l’État est présent puisque le MSTIC a trouvé des communications entre des comptes de courrier électronique appartenant à Holy Ghost et à Andariel, un acteur de la menace faisant partie du Lazarus Group sous l’égide du Bureau général de reconnaissance de la Corée du Nord.