Los actores de amenazas en Corea del Norte han estado implicados en un incidente reciente que desplegó una conocida familia de ransomware llamada Play, lo que subraya sus motivaciones financieras.
La actividad, observada entre mayo y septiembre de 2024, se ha atribuido a un actor de amenazas rastreado como Piscis nerviosoque también se conoce como Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (antes Plutonium), Operation Troy, Silent Chollima y Stonefly.
“Creemos con moderada confianza que Jumpy Pisces, o una facción del grupo, ahora está colaborando con el grupo de ransomware Play”, Unidad 42 de Palo Alto Networks. dicho en un nuevo informe publicado hoy.
“Este incidente es significativo porque marca la primera colaboración registrada entre el grupo Jumpy Pisces patrocinado por el estado norcoreano y una red clandestina de ransomware”.
Andariel, activo desde al menos 2009, está afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Anteriormente se había observado la implementación de otras dos cepas de ransomware conocidas como SHATTEREDGLASS y Maui.
A principios de este mes, Symantec, parte de Broadcom, señaló que tres organizaciones diferentes en los EE. UU. fueron atacadas por un equipo de piratería patrocinado por el estado en agosto de 2024 como parte de un ataque probablemente motivado por motivos financieros, a pesar de que no se implementó ningún ransomware en sus redes.
Play, por otro lado, es una operación de ransomware que se cree que ha afectado a aproximadamente 300 organizaciones hasta octubre de 2023. También se conoce como Balloonfly, Fiddler Scorpius y PlayCrypt.
Si bien la empresa de ciberseguridad Adlumin reveló a fines del año pasado que la operación puede haber pasado a un modelo de ransomware como servicio (RaaS), los actores de amenazas detrás de Play han anunciado desde entonces en su sitio de filtración de datos de la web oscura que ese no es el caso.
En el incidente investigado por la Unidad 42, se cree que Andariel obtuvo acceso inicial a través de una cuenta de usuario comprometida en mayo de 2024, seguido de actividades de persistencia y movimiento lateral utilizando el marco de comando y control (C2) de Sliver y una puerta trasera personalizada llamada Dtrack. (también conocido como Valefor y Preft).
“Estas herramientas remotas continuaron comunicándose con su servidor de comando y control (C2) hasta principios de septiembre”, dijo la Unidad 42. “Esto finalmente llevó a la implementación del ransomware Play”.
La implementación del ransomware Play fue precedida por un actor de amenazas no identificado que se infiltró en la red utilizando la misma cuenta de usuario comprometida, después de lo cual se le observó realizando recolección de credenciales, escalada de privilegios y desinstalación de sensores de detección y respuesta de puntos finales (EDR), todas características distintivas de la anterior. -actividades de ransomware.
También se utilizó como parte del ataque un binario troyanizado que es capaz de recopilar el historial del navegador web, información de autocompletar y detalles de tarjetas de crédito para Google Chrome, Microsoft Edge y Brave.
El uso de la cuenta de usuario comprometida tanto por parte de Andariel como de Play Asia, la conexión entre los dos conjuntos de intrusión surge del hecho de que la comunicación con el servidor Sliver C2 (172.96.137[.]224) continuó hasta el día antes de la implementación del ransomware. La dirección IP C2 ha estado desconectada desde el día en que se realizó la implementación.
“Aún no está claro si Jumpy Pisces se ha convertido oficialmente en afiliado del ransomware Play o si actuó como IAB. [initial access broker] vendiendo acceso a la red a los actores del ransomware Play”, concluyó la Unidad 42. “Si el ransomware Play no proporciona un ecosistema RaaS como afirma, es posible que Jumpy Pisces sólo haya actuado como un IAB”.
About the Author
