Los actores de amenazas con presuntos vínculos con China y Corea del Norte han sido vinculados a ataques de ransomware y cifrado de datos dirigidos a sectores gubernamentales y de infraestructura crítica en todo el mundo entre 2021 y 2023.
Si bien un grupo de actividad se ha asociado con ChamelGang (también conocido como CamoFei), el segundo grupo se superpone con la actividad previamente atribuida a grupos patrocinados por los estados chino y norcoreano, las empresas de ciberseguridad SentinelOne y Recorded Future. dicho en un informe conjunto compartido con The Hacker News.
Esto incluye los ataques de ChamelGang dirigidos al All India Institute of Medical Sciences (AIIMS) y a la Presidencia de Brasil en 2022 utilizando el ransomware CatB, así como a una entidad gubernamental en el este de Asia y una organización de aviación en el subcontinente indio.
«Los actores de amenazas en el ecosistema de ciberespionaje están participando en una tendencia cada vez más inquietante de utilizar ransomware como etapa final de sus operaciones con el fin de obtener ganancias financieras, perturbaciones, distracciones, atribuciones erróneas o eliminación de pruebas», afirman los investigadores de seguridad Aleksandar Milenkoski y Julian. -Dijo Ferdinand Vögele.
Los ataques de ransomware en este contexto no solo sirven como salida para el sabotaje, sino que también permiten que los actores de amenazas oculten sus huellas destruyendo artefactos que de otro modo podrían alertar a los defensores de su presencia.
Se considera que ChamelGang, documentado por primera vez por Positive Technologies en 2021, es un grupo nexo con China que opera con motivaciones tan variadas como la recopilación de inteligencia, el robo de datos, las ganancias financieras, los ataques de denegación de servicio (DoS) y las operaciones de información. de acuerdo a a la empresa taiwanesa de ciberseguridad TeamT5.
Se sabe que posee una amplia gama de herramientas en su arsenal, incluidas BeaconLoader, Cobalt Strike, puertas traseras como AukDoor y DoorMe, y una cepa de ransomware conocida como CatB, que ha sido identificada como utilizada en ataques dirigidos a Brasil e India basándose en puntos en común en el nota de rescate, el formato de la dirección de correo electrónico de contacto, la dirección de la billetera de criptomonedas y la extensión del nombre de los archivos cifrados.
Los ataques observados en 2023 también aprovecharon una versión actualizada de BeaconLoader para entregar Cobalt Strike para actividades de reconocimiento y posteriores a la explotación, como colocar herramientas adicionales y filtrar el archivo de base de datos NTDS.dit.
Además, vale la pena señalar que el malware personalizado utilizado por ChamelGang, como DoorMe y MGDrive (cuya variante de macOS se llama Gimmick), también se ha vinculado a otros grupos de amenazas chinos como REF2924 y Storm Cloud, aludiendo una vez más a la posibilidad de un «Intendente digital que suministra malware a distintos grupos operativos».
El otro conjunto de intrusiones implica el uso de Jetico BestCrypt y Microsoft BitLocker en ciberataques que afectaron a varios sectores industriales en América del Norte, América del Sur y Europa. Se estima que fueron el objetivo de los ataques unas 37 organizaciones, predominantemente del sector manufacturero estadounidense.
Las tácticas observadas en el grupo, según las dos empresas de ciberseguridad, son coherente con aquellos atribuidos a un equipo de piratas informáticos chino denominado APT41 y a un actor norcoreano conocido como Andariel, debido a la presencia de herramientas como el shell web China Chopper y una puerta trasera conocida como DTrack.
«Las operaciones de ciberespionaje disfrazadas de actividades de ransomware brindan una oportunidad para que los países adversarios afirmen una negación plausible al atribuir las acciones a actores cibercriminales independientes en lugar de entidades patrocinadas por el estado», dijeron los investigadores.
«El uso de ransomware por parte de grupos de amenazas de ciberespionaje desdibuja la línea entre el cibercrimen y el ciberespionaje, proporcionando a los adversarios ventajas tanto desde perspectivas estratégicas como operativas».