Los grupos maliciosos respaldados por los estados están utilizando cada vez más ataques de tipo Ransom como una cubierta para ocultar actividades más insidiosas. El grupo ruso Sandworm ha utilizado el ransomware para destruir datos varias veces en los últimos seis meses, mientras que el grupo de Corea del Norte Lazarus ha utilizado una infraestructura previamente asociada con un grupo de ransomiciales para campañas de recolección de inteligencia. Al mismo tiempo, algunos apartamentos chinos que tradicionalmente atacaban a las entidades en Asia recurrieron a las empresas europeas, mientras que los grupos con sede en Irán, que históricamente atacaban a las empresas israelíes, comenzaron a atacar a sus subsidiarias. Al menos un grupo norcoreano que se centró en Corea del Sur y Rusia comenzó a usar el inglés en sus operaciones. Todos estos cambios operativos sugieren que las organizaciones y empresas en los países occidentales están expuestas a un mayor riesgo de actividad APT.
Durante los últimos meses de 2022, Sandworm ha continuado sus ataques de borrado de datos contra las organizaciones ucranianas, pero ha extendido sus esfuerzos a países de países que son de fervientes partidarios de Ucrania, como Polonia, según un último informe del editor eset. Se cree que Sandworm opera como una unidad dentro de la Agencia de Inteligencia Militar de Rusia, el Gru. Sandworm ha lanzado ataques destructivos contra organizaciones ucranianas durante años. Se le atribuye los ataques a la infraestructura energética ucraniana que causó cortes de energía en el país en 2015, así como al ataque destructivo del ransomware que no es en 2017 que comenzó como un ataque al software de la cadena de suministro contra un editor ucraniano pero terminó tener un impacto en las empresas internacionales también. Desde el comienzo de la guerra, los investigadores de ESET han otorgado a Sandworm dos programas de sabotaje llamados Caddywiper y Hermeticwiper utilizados en Ucrania. También se sospecha que Cybergang ha intentado interrumpir la red de electricidad ucraniana en abril utilizando un nuevo malware llamado Industroyer2.
Ransomics utilizado en operaciones como señuelos
En octubre, ESET vio otras variantes de Caddywiper y Hermeticwiper, pero también un limpiaparabrisas de datos atribuido a Sandworm llamado Nikowiper. Este último se basa en SDELETE, una utilidad de Microsoft para eliminar los archivos de manera segura y se utilizó contra una empresa ucraniana en el sector energético. "Este ataque ocurrió aproximadamente en el mismo período en que las fuerzas armadas rusas han atacado la infraestructura energética ucraniana con ataques con misiles", dijeron los investigadores del editor. "Incluso si no hemos podido demostrar ninguna coordinación entre estos eventos, sugiere que el gusano de arena y las fuerzas armadas rusas tienen los mismos objetivos". Además de los limpiaparabrisas, Sandworm parece continuar sus tácticas para reutilizar el ransomware. La diferencia entre el borrador de datos y el rescate es que encriptan los archivos en lugar de eliminarlos, pero ambos tienen el efecto de hacer que los datos sean inaccesibles.
Los investigadores de ESET atribuyen los ataques de octubre con ransomware llamados Prestige contra empresas de logística ucraniana y polaca en Sandworm. Un mes después, el grupo usó otro cargo llamado Ransomboggs contra estructuras ucranianas. Fue escrito en .NET y se refirió a la película animada Monsters Inc. "En estos ataques, se usaron ransomics, pero el objetivo final era el mismo que para los limpiaparabrisas: la destrucción de datos", dijeron los expertos. A diferencia de los ataques tradicionales de ransomware, los piratas no tienen la intención de proporcionar la clave para descifrar los datos. Es probable que estos ataques destructivos continúen y, como en el caso del prestigio ransomiciet, podrían extenderse a empresas en países que brindan apoyo militar y logístico a Ucrania. A más tardar la semana pasada, el equipo de ESET descubrió otro programa de borrado que otorgó a Sandworm y bautizó a Swiftslicer. Está escrito en GO y se implementa en redes a través de la estrategia del grupo Active Directory.
Corea del Norte en las primeras logias
Otros grupos APT pueden no usar ransomware directamente, pero pueden usar tácticas, técnicas y procedimientos (TTP) asociados con grupos ransómicos que se sabe que ocultan sus actividades. Estos se conocen en la industria de la seguridad bajo el nombre de las operaciones "bajo Banner False". La mayoría de los grupos ransómicos ahora exfiltran los datos para rescatarlos antes de cuantificarlo localmente. Este vuelo de datos puede ser una buena cobertura para el ciber-sping. La compañía de seguridad Withessecure recientemente investigó una campaña de ataque que inicialmente fue sospechada de ser causada por el grupo Bianlian. Una investigación más profunda reveló que, de hecho, era una operación de recopilación de información del Grupo Lázaro patrocinado por el estado de Corea del Norte. Se dirigió a organizaciones de investigación pública y privada en el campo médico y de energía, así como a sus socios.
Corea del Norte tiene varios grupos APT que a veces comparten herramientas, pero que serían controladas por varias agencias o departamentos gubernamentales. Lázaro, APT38 y Andariel (también conocidos como Chollima silenciosos) son grupos asignados a la tercera oficina de inteligencia extranjera y la Oficina General de Reconocimiento, la inteligencia extranjera de Corea del Norte. Otro grupo llamado Kimsuky se otorga a la quinta oficina: casos intercoreanos y se encarga de las operaciones dirigidas a Corea del Sur principalmente. Otro más identificado como un IPT37 que también dirige principalmente al país vecino se otorga al Ministerio de Seguridad del Estado de Corea del Norte. "Muchos de los TTP observados y las herramientas recolectadas ya han sido asignadas por otros investigadores a los grupos Kimsuky o Lázaro", dijeron los investigadores de Winescure. Agregan: "El hecho de que se observan referencias a los dos grupos podría resaltar el intercambio de herramientas y capacidades entre los actores de amenaza de Corea del Norte".
Ransomware introducido
Los investigadores encontraron un malware similar al llamado Grease, que se atribuyó previamente a Kimsuky, así como a una versión personalizada de este incidente, con la seguridad observó el uso de malware similar a la grasa, también previamente atribuido a Kimsuky. Otro malware recuperado era una versión personalizada de Dtrack, un caballo troyano de acceso remoto (rata), con una configuración muy similar a la utilizada por Lázaro durante un ataque a la planta de energía nuclear india de Kudankulam en 2019. Los investigadores también descubrieron el uso del uso del uso de Pastty Plink y 3Proxy, dos herramientas observadas previamente en otras campañas de Lázaro. La superposición con el Bianlian Ransomiciel fue el uso de un servidor de control y control de la casa en una dirección IP previamente utilizada por Bianlian. Lázaro y el APT de Corea del Norte están acostumbrados a usar ransomware en sus ataques, tanto como una manta como para aprovecharlos. Esto incluye el principal green/rescate de 2017 que afectó a las empresas de todo el mundo.
En julio, la CISA emitió una alerta que indica que los actores respaldados por el estado de Corea del Norte utilizaron el rescate de Maui para atacar a los sectores de salud y salud pública. Debido a las estrictas sanciones económicas a las que se enfrenta el gobierno de Corea del Norte, sus armas de piratería con frecuencia se involucran en actividades que se parecen más al delito cibernético que al espectionario cibernético. “En varias partes del mundo, los grupos alineados en Corea del Norte han utilizado antiguas hazañas para comprometer a empresas e intercambios de criptomonedas. Curiosamente, Konni ha ampliado el repertorio de idiomas que usa en sus documentos de señuelo para incluir el inglés, lo que significa que podría no estar apuntando a sus objetivos habituales rusos y coreanos ", dijeron los investigadores de ESET en su informe sobre la actividad APT.
Otras noticias que te pueden interesar