Microsoftは7月14日(米国時間)、「North Korean threat actor targets small and midsize businesses with H0lyGh0st ransomware - Microsoft Security Blog」において、北朝鮮のサイバー攻撃者が中小企業を標的としたキャンペーンを展開したと伝えた。Microsoft Threat Intelligence Center(MSTIC)の調査により、DEV-0530と呼ばれる脅威アクターがH0lyGh0stと呼ばれるランサムウェアを使い、複数の国の中小企業の攻撃に成功したことが判明した。
DEV-0530は、主に金銭の窃取を目的としたランサムウェア攻撃を展開している北朝鮮の脅威アクター。DEV-0530によるランサムウェア攻撃時の身代金請求書に、彼らの主張を掲載したWebサイトのリンクが含まれていたという。
H0lyGh0stはDEV-0530によって開発されたランサムウェア。MSTICはDEV-0530によって展開されたBTLC_C.exe、HolyRS.exe、HolyLock.exeおよびBLTC.exeというH0lyGh0stの4つの亜種を観測。どの亜種もWindowsをターゲットにしているが、Windows 10および11に同梱されているウィルス対策ソフトの検知およびブロックにより、ユーザーは保護されるとのことだ。
Microsoftはランサムウェアの脅威に対する保護の一環として、すべての組織に対してデータのバックアップと復元の計画を積極的に実装し、頻繁に検証することを推奨している。また、ランサムウェアの脅威から保護する対策として、クレデンシャルハイジーン(衛生管理)の構築や資格情報管理の監査、すべてのアカウントに多要素認証の適用、レガシー認証の無効化などを実施するよう勧めている。