Beijing maniobrando detrás de un grupo de ransomware, esta es la hipótesis revelada en un informe del 23 de junio de la empresa estadounidense de ciberseguridad Secureworks. El objetivo para China sería ocultar sus actividades de espionaje detrás de acciones cibercriminales banales.
Secureworks y Microsoft en el acto
En un estudio de marzo de 2022, “Panorama de la amenaza informática 2021″, la agencia francesa de ciberdefensa, ANSSI, informó haber observado durante algunos años, ” una convergencia de métodos y herramientas utilizadas por varios perfiles de actores maliciosos “. Claramente, las entidades estatales han asumido el modus operandi cibercriminal para ocultar sus actividades en el ciberespacio.
Usuarios de Android infectados con el software espía Hermit
Según Secureworks, “Bronze Starlight”, también llamado DEV-0401 por Microsoft, podría ser uno de estos grupos patrocinados por el estado, aquí China. Secureworks cree que “ La victimología, la corta vida útil de cada familia de ransomware y el acceso al malware utilizado por grupos de amenazas patrocinados por el gobierno sugieren que la principal motivación de BRONZE STARLIGHT puede ser el robo de propiedad intelectual o el espionaje cibernético en lugar de la ganancia financiera. “.
Fue el gigante estadounidense quien primero divisó a este grupo, que apareció a mediados de 2021 y fue particularmente discreto. Una discreción obtenida gracias a los cambios muy regulares del ransomware para sus ataques, LockFile (agosto de 2021), AtomSilo (octubre), Rook (noviembre), Night Sky (diciembre) y Pandora (febrero de 2022), LockBit 2.0 (abril).
” Debido a que DEV-0401 mantiene y renombra con frecuencia sus propias cargas útiles de ransomware, pueden aparecer como grupos diferentes en los informes basados en cargas útiles y evadir las detecciones y las acciones contra ellas. “, señalado microsoft en mayo.
Esta actitud no tiene precedentes en un entorno en el que se utiliza software siempre que siga siendo eficaz. Le permite permanecer bajo el radar de los investigadores de ciberseguridad. Microsoft y Secureworks también han notado otra originalidad: Bronze Starlight no utiliza intermediarios de acceso inicial, vendedores de fallas en un sistema informático, sino que utiliza vulnerabilidades no corregidas. Para Microsoft el grupo difiere de la mayoría de los atacantes “.
¿China es experta en ransomware?
¿De ahí a atribuir la responsabilidad potencial de China? Hay un paso que da Secureworks, basado en varios elementos. Inicialmente, el uso de software popular entre grupos del Reino Medio, con algunos rastros detectables de chino.
Luego la adopción de la práctica de “nombre y vergüenza”. Además, o más bien para exigir un rescate por una clave de acceso, los atacantes roban datos y amenazan con publicarlos en un sitio público. Para Secureworks, “ Es posible que este cambio haya proporcionado una forma más plausible de filtrar datos. Los actores de amenazas también pueden haber decidido que el perfil público sería más efectivo para distraer la atención de sus verdaderos objetivos operativos. “.
La última pista interesante para Secureworks es el famoso ” victimología de Bronce Starlight. De las 21 víctimas contabilizadas por Secureworks, el 75% corresponden a intereses chinos, la mayoría de las veces en Asia o Estados Unidos: farmacéuticas en Brasil y Estados Unidos, un medio estadounidense, diseñadores y fabricantes de componentes electrónicos en Japón y Lituania, un bufete de abogados estadounidense, la división aeroespacial y de defensa de un conglomerado indio… Los otros objetivos parecen incidentes, empresas inmobiliarias estadounidenses o una empresa europea de decoración de interiores.
En ciberseguridad, la atribución de un ciberataque es siempre un ejercicio complejo. Secureworks, aunque designa a Beijing, está armado con cautela al afirmar que solo está formulando una hipótesis basada en las pistas recopiladas. El uso de una herramienta cibercriminal por parte de un Estado está lejos de ser improbable, ya que tiene la ventaja de la discreción, de recuperar datos cubriendo las pistas.