一些勒索软件与 APT38 有关，这是一个由朝鲜赞助的黑客组织，以专注于瞄准和窃取全球金融机构的资金而闻名。

他们还以在攻击的最后阶段在受害者的网络上部署破坏性恶意软件而闻名，可能会破坏他们活动的任何痕迹。

网络安全公司 Trellix 的首席威胁研究员 Christiaan Beek 表示，该组织的运营商（朝鲜网络军 121 局 180 部队的一部分）还使用 Beaf、PXJ、ZZZZ 和 ChiChi 勒索软件家族来勒索他们的一些勒索软件。受害者。

在分析与 VHD 勒索软件的代码和工件相似性时，发现了与 APT38 的 链接，该勒索软件与TFlower 勒索软件一样， 与朝鲜 Lazarus APT 组织有关。

据卡巴斯基称，卡巴斯基和 Sygnia 的研究人员在看到这两种病毒通过 跨平台 MATA 恶意软件框架部署在受害者的网络上后建立了联系，这是 Lazarus 运营商专门使用的恶意工具。

Beek 周三透露——基于使用希尔伯特曲线映射可视化代码——PXJ、Beaf 和 ZZZZ 与 VHD 和 TFlower 勒索软件共享大量源代码和功能，Beaf 和 ZZZZ 几乎是彼此的完全克隆。

Trellix 研究人员说： “您不必成为恶意软件专家就能立即认识到 ZZZ 和 BEAF 勒索软件的图片几乎相同 。 ”

“很明显，与 VHD 相比，Tflower 和 ChiChi 都大不相同。”

勒索软件应变比较 (Trellix)
虽然 ChiChi 的代码库几乎没有共同点，但 Beek 发现 ChiChi 和 ZZZZ 在他们的赎金记录中都使用了 Semenov[.]akkim@protonmail[.]com 电子邮件地址。

使用这些勒索软件系列的攻击只针对亚太地区 (APAC) 的实体，因此更难找到受害者的身份，因为没有谈判聊天或泄密网站可供调查。

Trellix 还试图通过分析赎金支付背后的加密货币转移来发现其他链接，但在用于收集赎金的加密钱包中没有发现重叠。

然而，他们发现朝鲜黑客只能收集少量加密资产（例如，2020 年年中的 2.2 BTC 转账，当时价值 20,000 美元）。

“我们怀疑勒索软件系列 [..] 是更有组织的攻击的一部分，”Beek 补充道。

“根据我们的研究、综合情报和对较小目标勒索软件攻击的观察，Trellix 高度自信地将它们归咎于朝鲜附属黑客。”