Los piratas informáticos respaldados por el estado de Corea del Norte están realizando ataques de ransomware contra instalaciones de infraestructura crítica y de atención médica para financiar actividades ilícitas, advirtieron las agencias de ciberseguridad e inteligencia de EE. UU. y Corea del Sur en un aviso conjunto.
Los ataques, que exigen rescates en criptomonedas a cambio de recuperar el acceso a archivos cifrados, están diseñados para respaldar las prioridades y objetivos a nivel nacional de Corea del Norte.
Esto incluye “operaciones cibernéticas dirigidas a los gobiernos de Estados Unidos y Corea del Sur; los objetivos específicos incluyen las redes de información del Departamento de Defensa y las redes de miembros de la Base Industrial de Defensa”, dijeron las autoridades. dicho.
Los actores de amenazas con Corea del Norte han sido vinculado a operaciones de espionaje, robo financiero y cryptojacking durante años, incluidos los infames ataques de ransomware WannaCry de 2017 que infectaron cientos de miles de máquinas ubicadas en más de 150 países.
Desde entonces, los equipos de los estados-nación de Corea del Norte han incursionado en múltiples cepas de ransomware como VHD, Maui y H0lyGh0st para generar un flujo constante de ingresos ilegales para el régimen afectado por las sanciones.
Además de adquirir su infraestructura a través de criptomonedas generadas a través de sus actividades delictivas, se sabe que el adversario funciona bajo identidades de filiales extranjeras de terceros para ocultar su participación.
Las cadenas de ataque montadas por el equipo de piratería implican la explotación de fallas de seguridad conocidas en los dispositivos Apache Log4j, SonicWall y TerraMaster NAS (por ejemplo, CVE 2021-44228, CVE-2021-20038y CVE-2022-24990) para obtener acceso inicial, seguido de reconocimiento, movimiento lateral e implementación de ransomware.
Además de usar ransomware desarrollado de forma privada, se ha observado que los actores aprovechan herramientas estándar como BitLocker, DeadBolt, ech0raix, Jigsaw y YourRansom para cifrar archivos, sin mencionar que incluso se hacen pasar por otros grupos de ransomware como REvil.
Como mitigaciones, las agencias recomiendan que las organizaciones implementen el principio de privilegio mínimo, deshabiliten las interfaces de administración de dispositivos de red innecesarias, apliquen la segmentación de red de múltiples capas, requieran controles de autenticación resistentes al phishing y mantengan copias de seguridad periódicas de los datos.
La alerta se produce cuando un nuevo informe de las Naciones Unidas encontró que los piratas informáticos de Corea del Norte robaron activos virtuales sin precedentes estimados en un valor de entre $ 630 millones y más de $ 1 mil millones en 2022.
El informe, visto por Associated Pressdijo que los actores de amenazas utilizaron técnicas cada vez más sofisticadas para obtener acceso a las redes digitales involucradas en las finanzas cibernéticas y para robar información de gobiernos, empresas e individuos que podría ser útil en los programas nucleares y de misiles balísticos de Corea del Norte.
Además, llamó a Kimsuky, Lazarus Group y Andariel, que forman parte de la Oficina General de Reconocimiento (RGB), por seguir atacando a las víctimas con el objetivo de generar ingresos y solicitando información de valor para el reino ermitaño.