O grupo de cibercriminosos da Coréia do Norte, que se autodenomina H0lyGh0st, está sendo rastreado pelo Microsoft Threat Intelligence Center sob o apelido DEV-0530, uma designação atribuída a um grupo desconhecido, emergente ou em desenvolvimento na atividade de ameaça.

As entidades visadas incluem principalmente empresas de pequeno e médio porte, como organizações de manufatura, bancos, escolas e empresas de planejamento de eventos e reuniões.

A metodologia padrão do grupo é criptografar todos os arquivos no dispositivo de destino e usar a extensão de arquivo.h0lyenc, enviar à vítima uma amostra dos arquivos como prova e exigir o pagamento em Bitcoin em troca de restaurar o acesso aos arquivos.

Os valores de resgate exigidos pelo DEV-0530 variam entre 1,2 e 5 bitcoins, embora uma análise da carteira de criptomoedas do invasor não mostre pagamentos de resgate bem-sucedidos de suas vítimas no início de julho de 2022.

O esquema ilícito adotado pelo agente de ameaças consiste em táticas de extorsão para pressionar as vítimas a pagar ou arriscar que suas informações sejam publicadas nas mídias sociais.