Siden angrebet mod centralbanken har Kaspersky Lab undersøgt Lazarus, og man er sikker på, at ca. 15 omfattende spionage- og sabotageangreb rundt om i verden siden 2009 kan forbindes til hackergruppen.
Efter måneders stilhed efter angrebet i Bangladesh opdagede man, at Lazarus havde forberedt et nyt angreb mod banker i Sydøstasien, men efter at være blevet afbrudt af Kaspersky Labs undersøgelse ændrede gruppen retning og sigtede i stedet for mod mål i Europa.
Lazarus metode
Baseret på resultatet af den kriminaltekniske analyse har Kaspersky Labs forskere kunnet indkredse, hvordan gruppen bærer sig ad. Malware placeres på almindelige websites, som, når de bliver besøgt, inficerer computeren og placerer såkaldte backdoors – malware, som lader Lazarus komma og gå, som de vil i offerets computer. Inficerede computere inden for netværket hos en bank bliver dermed gruppens kilde til vigtig information og data fra banken for at kunne gennemføre videre angreb.
Til sidst placeres en særlig malware, der er kapabel til at tage sig forbi interne sikkerhedsløsninger og udføre useriøse transaktioner i bankens navn.
I løbet af udredningen af angrebene i Sydøstasien fremkom det, at hackere har været inde i banknætverket hele syv måneder før den dag, hvor bankens sikkerhedsteam forlangte incidenthåndtering og frem til den dag hvor tyveriet fandt sted. Fra december 2015 til marts 2017 har man fundet malware fra Lazarus hos institutioner og virksomheder i såvel Korea, Indien og Costa Rica, som i Polen, Irak, Nigeria, Etiopien og en række andre lande.
Omarbejder metoder
Nu har der været stille fra gruppen et stykke tid, hvilket ifølge eksperter hos Kaspersky Lab tyder på, at de omarbejdar og udvikler deres værktøjer og metoder. Virksomheden opfordrer alle organisationer til nøje at skanne deres netværk efter malware fra Lazarus.
Global
