h0lygh0st-ransomware

# H0lyGh0st Ransomware > [!high] Ransomware da Coreia do Norte Focado em PMEs Globais > H0lyGh0st é um ransomware operado pelo grupo norte-coreano DEV-0530 (Storm-0530) desde junho de 2021. Usa dupla extorsão: exfiltra dados antes de criptografar com extensão .h0lyenc e ameaça públicar informações sensíveis. Diferentemente de outras operações de ransomware da DPRK, foca oportunisticamente em pequenas e médias empresas globais para financiar o regime norte-coreano. ## Visão Geral H0lyGh0st é um ransomware desenvolvido e operado pelo grupo norte-coreano DEV-0530 (Storm-0530), com vínculos ao subgrupo PLUTONIUM (Andariel) do [[lazarus-group]]. Ativo desde junho de 2021, o malware se distingue das demais operações de ransomware da DPRK por sua estratégia deliberada de focar em pequenas e médias empresas (PMEs) com postura de segurança deficiente — em vez de grandes corporações ou infraestrutura crítica. O grupo usa dupla extorsão: exfiltra dados, cifra arquivos com extensão `.h0lyenc` e negocia via site .onion na rede Tor, com demandas entre 1,2 e 5 BTC. A distinção operacional do H0lyGh0st reflete a missão de financiamento do regime norte-coreano: PMEs pagam resgates menores mas com menor capacidade de resistência e maior urgência de recuperação. Os setores visados incluem serviços financeiros, manufatura, educação, entretenimento e saúde, com vítimas documentadas na Coreia do Sul e nos EUA. O acesso inicial é obtido principalmente pela exploração de vulnerabilidades em aplicações web expostas, como CVE-2022-26352 no DotCMS. > [!latam] Relevância para Brasil e LATAM > O H0lyGh0st converge duas tendências preocupantes para o Brasil: ransomware como ferramenta de financiamento estatal e foco em **PMEs** com menor capacidade de defesa. O Brasil possui milhões de pequenas e médias empresas nos setores de **saúde**, manufatura e **serviços financeiros** — exatamente o perfil visado pelo DEV-0530. A cultura de "instalar e esquecer" em servidores Windows e a baixa adoção de patching automatizado criam a janela de oportunidade explorada pelo grupo. ## Descrição O H0lyGh0st é um ransomware desenvolvido e operado pelo grupo de ameaça norte-coreano rastreado pela Microsoft como **DEV-0530** (também denominado Storm-0530), com vínculos ao grupo PLUTONIUM (DarkSeoul/Andariel) - um subgrupo do [[lazarus-group]]. O malware foi identificado pela primeira vez em atividade em **setembro de 2021**, embora amostras do código existam desde junho de 2021. Sua estratégia de alvo é distinta das demais operações de ransomware da Coreia do Norte: ao invés de mirar grandes corporações ou infraestrutura crítica, o DEV-0530 foca deliberadamente em **pequenas e médias empresas (PMEs)** com postura de segurança deficiente e alta sensibilidade a tempo de inatividade. O processo de ataque segue o modelo de **dupla extorsão** moderno: os operadores primeiro obtêm acesso ao ambiente alvo (frequentemente explorando vulnerabilidades em aplicações expostas na internet, como a CVE-2022-26352 no DotCMS), realizam movimentação lateral, exfiltram dados sensíveis e só então cifram os arquivos. Após a criptografia, os arquivos têm seus nomes codificados em Base64 e recebem a extensão `.h0lyenc`, e uma nota de resgate `FOR_DECRYPT.html` é criada. A demanda de resgate varia de **1,2 a 5 BTC** (negociável), com comunicação via site .onion hospedado na rede Tor. A narrativa do DEV-0530 é peculiar: o grupo se posiciona como um "Robin Hood" digital, alegando usar os fundos arrecadados para ajudar os pobres - mas o padrão de ataques indica motivação puramente financeira para financiar as atividades do regime norte-coreano. Os setores visados incluem serviços financeiros, manufatura, educação, entretenimento e [[healthcare|saúde]], com vítimas documentadas na Coreia do Sul, Estados Unidos e outros países. Para o Brasil e LATAM, a ameaça do H0lyGh0st é indireta mas real: PMEs brasileiras nos setores de [[financial|serviços financeiros]], [[healthcare|saúde]] e manufatura - frequentemente com recursos limitados de segurança - correspondem exatamente ao perfil de alvo preferido do DEV-0530. A exposição de aplicações web em portas padrão sem patching adequado é o principal vetor de acesso inicial documentado. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de vulnerabilidades em apps expostos (ex: CVE-2022-26352) | | Exfiltration | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Exfiltração de dados antes da criptografia | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de arquivos com extensão .h0lyenc | | Impact | [[t1489-service-stop\|T1489]] | Parada de serviços para possibilitar criptografia | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas para persistência | | Defense Evasion | [[t1070-indicator-removal\|T1070]] | Remoção de indicadores e logs após criptografia | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação via site .onion para negociação | ## Grupos que Usam - [[dev-0530-storm-0530|DEV-0530]] / Storm-0530 - operador principal, Coreia do Norte - Vínculos documentados com [[lazarus-group]] via ferramentas e infraestrutura compartilhadas (grupo PLUTONIUM/Andariel) ## Detecção - Alertar para criação em massa de arquivos com extensão `.h0lyenc` ou alteração massiva de nomes de arquivo com codificação Base64 - indicador de impacto imediato - Monitorar a presença do arquivo `FOR_DECRYPT.html` criado em múltiplos diretórios simultaneamente - assinatura característica do H0lyGh0st - Detectar paradas em massa de serviços Windows críticos (SQL Server, backup agents, VSS) por processos não identificados - técnica pré-criptografia documentada do DEV-0530 - Implementar inventário e patching rigoroso de aplicações web expostas na internet, com especial atenção a CMSs e plataformas de colaboração - CVE-2022-26352 (DotCMS) foi vetor documentado - Monitorar tráfego de rede para nós de saída Tor e domínios .onion - o DEV-0530 usa infraestrutura Tor para comunicação C2 e negociação de resgate ## Relevância LATAM/Brasil O H0lyGh0st representa a convergência de duas tendências preocupantes para o mercado brasileiro: ransomware como ferramenta de financiamento estatal e foco deliberado em PMEs com menor capacidade de defesa. O Brasil possui milhões de pequenas e médias empresas nos setores de [[healthcare|saúde]], manufatura e [[financial|serviços financeiros]] - exatamente o perfil visado pelo DEV-0530. A cultura de "instalar e esquecer" em servidores Windows e a baixa adoção de patching automatizado criam a janela de oportunidade que o grupo norte-coreano explora. Organizações devem implementar varreduras periódicas de vulnerabilidades em ativos expostos e garantir backups offline testados regularmente para mitigar o impacto de ataques de ransomware. ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/) Microsoft Security Blog - H0lyGh0st Ransomware (2022) - [2](https://www.picussecurity.com/resource/h0lygh0st-north-korean-threat-group-strikes-back-with-new-ransomware) Picus Security - H0lyGh0st Analysis (2022) - [3](https://www.sentinelone.com/anthology/holyghost/) SentinelOne - HolyGhost Anthology (2022) - [4](https://socprime.com/blog/h0lygh0st-detection-new-ransomware-tied-to-north-korean-apt/) SOC Prime - H0lyGh0st Detection Rules (2022) - [5](https://media.defense.gov/2023/Feb/09/2003159161/-1/-1/0/CSA_RANSOMWARE_ATTACKS_ON_CI_FUND_DPRK_ACTIVITIES.PDF) US CISA/NSA/FBI - DPRK Ransomware Advisory (2023) - [6](https://attack.mitre.org/groups/G1026/) MITRE ATT&CK - DEV-0530 / Storm-0530