ABD ve Güney Kore siber güvenlik ve istihbarat teşkilatları ortak bir danışma belgesinde, Kuzey Kore’den devlet destekli bilgisayar korsanlarının yasa dışı faaliyetleri finanse etmek için sağlık hizmetlerine ve kritik altyapı tesislerine fidye yazılımı saldırıları düzenlediği konusunda uyarıda bulundu.
Şifrelenmiş dosyalara erişimin kurtarılması karşılığında kripto para birimi fidye talep eden saldırılar, Kuzey Kore’nin ulusal düzeydeki önceliklerini ve hedeflerini desteklemek için tasarlandı.
Yetkililer buna “Amerika Birleşik Devletleri ve Güney Kore hükümetlerini hedef alan siber operasyonları – belirli hedefler arasında Savunma Bakanlığı Bilgi Ağları ve Savunma Sanayi Üssü üye ağları” da dahildir. söz konusu.
Kuzey Kore ile tehdit aktörleri bağlantılı 150’den fazla ülkede bulunan yüzbinlerce makineyi etkileyen 2017’deki kötü şöhretli WannaCry fidye yazılımı saldırıları da dahil olmak üzere yıllarca casusluk, finansal hırsızlık ve cryptojacking operasyonlarına.
O zamandan beri, Kuzey Kore ulus-devlet ekipleri, yaptırımlardan etkilenen rejim için düzenli bir yasadışı gelir akışı oluşturmak için VHD, Maui ve H0lyGh0st gibi çok sayıda fidye yazılımı türüyle uğraştı.
Suç faaliyetleri yoluyla oluşturulan kripto para birimi aracılığıyla altyapısını sağlamanın yanı sıra, saldırganın katılımını gizlemek için üçüncü taraf yabancı bağlı kuruluş kimlikleri altında faaliyet gösterdiği biliniyor.
Bilgisayar korsanlığı ekibi tarafından oluşturulan saldırı zincirleri, Apache Log4j, SonicWall ve TerraMaster NAS cihazlarındaki (örn. CVE 2021-44228, CVE-2021-20038Ve CVE-2022-24990) ilk erişimi elde etmek, bunu keşif, yanal hareket ve fidye yazılımı dağıtımı ile takip etmek.
Oyuncuların, özel olarak geliştirilmiş fidye yazılımı kullanmanın yanı sıra, dosyaları şifrelemek için BitLocker, DeadBolt, ech0raix, Jigsaw ve YourRansom gibi hazır araçlardan yararlandıkları ve hatta REvil gibi diğer fidye yazılımı gruplarını taklit ettikleri gözlemlendi.
Hafifletici önlemler olarak, ajanslar kuruluşlara en az ayrıcalık ilkesini uygulamalarını, gereksiz ağ cihazı yönetimi arabirimlerini devre dışı bırakmalarını, çok katmanlı ağ bölümlemesini zorunlu tutmalarını, kimlik avına karşı dayanıklı kimlik doğrulama kontrolleri gerektirmelerini ve periyodik veri yedeklemeleri yapmalarını önerir.
Uyarı, Birleşmiş Milletler’den gelen yeni bir raporun, Kuzey Koreli bilgisayar korsanlarının 2022’de 630 milyon dolar ile 1 milyar dolardan fazla olduğu tahmin edilen rekor kıran sanal varlıkları çaldığını ortaya çıkarmasıyla geldi.
Rapor, Associated Press tarafından görüldütehdit aktörlerinin siber finansla ilgili dijital ağlara erişim elde etmek ve hükümetlerden, şirketlerden ve bireylerden Kuzey Kore’nin nükleer ve balistik füze programlarında yararlı olabilecek bilgileri çalmak için giderek daha karmaşık teknikler kullandığını söyledi.
Ayrıca, tümü Keşif Genel Bürosu’nun parçası olan Kimsuky, Lazarus Group ve Andariel’i çağırdı (RGB), gelir elde etme amacıyla mağdurları hedeflemeye devam etmek ve bilgi istemek münzevi krallık için değerli.