Sedan attacken mot centralbanken har Kaspersky Lab utrett Lazarus. Under utredningen har omkring 15 omfattande spionage- och sabotageattacker runtom i världen sedan 2009 kunnat knytas till hackergruppen.

Efter månader av tystnad efter attacken i Bangladesh, upptäcktes att Lazarus förberett en ny attack mot banker i Sydostasien, men efter att blivit avbrutna av Kaspersky Labs utredning sågs gruppen byta riktning och ställde in sig mot mål i Europa.

Lazarus metod
Baserat på resultatet av den kriminaltekniska analysen har Kaspersky Labs forskare kunnat ringa in gruppens tillvägagångssätt. Skadlig kod placeras ut på vanliga webbplatser, som när de besöks infekterar datorn och placerar ut så kallade backdoors – skadlig kod som låter Lazarus komma och gå som de vill i offrets dator. Infekterade datorer inom nätverket hos en bank bli därmed gruppens källa till viktig information och data från banken för att kunna genomföra vidare attacker.

I slutskedet placeras en särskild skadlig kod ut, kapabel att ta sig förbi interna säkerhetslösningar och utföra oseriösa transaktioner i bankens namn.

Under utredningen av attackerna i Sydostasien framkom att hackare varit inne i banknätverket inte mindre än sju månader före den dag då bankens säkerhetsteam begärt incidenthantering och fram till den dag då stölden skedde. Från december 2015 till mars 2017 har skadlig programvara från Lazarus påträffats hos institutioner och företag i såväl Korea, Indien och Costa Rica, som i Polen, Irak, Nigeria, Etiopien och flertalet andra länder.

Omarbetar metoder
Nu har det varit tyst från gruppen en tid, vilket enligt experter hos Kaspersky Lab tyder på att de omarbetar och utvecklar sina verktyg och metoder. Företaget uppmanar alla organisationer att noggrant skanna sina nätverk efter skadlig programvara från Lazarus och om det påträffas.