{"id":1419641,"date":"2024-10-30T16:12:37","date_gmt":"2024-10-30T16:12:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/un-grupo-norcoreano-colabora-con-play-ransomware-en-un-importante-ataque-cibernetico\/"},"modified":"2024-10-30T16:12:42","modified_gmt":"2024-10-30T16:12:42","slug":"un-grupo-norcoreano-colabora-con-play-ransomware-en-un-importante-ataque-cibernetico","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/un-grupo-norcoreano-colabora-con-play-ransomware-en-un-importante-ataque-cibernetico\/","title":{"rendered":"Un grupo norcoreano colabora con Play Ransomware en un importante ataque cibern\u00e9tico"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ransomware\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas en Corea del Norte han estado implicados en un incidente reciente que despleg\u00f3 una conocida familia de ransomware llamada Play, lo que subraya sus motivaciones financieras.<\/p>\n

La actividad, observada entre mayo y septiembre de 2024, se ha atribuido a un actor de amenazas rastreado como Piscis nervioso<\/strong>que tambi\u00e9n se conoce como Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (antes Plutonium), Operation Troy, Silent Chollima y Stonefly.<\/p>\n

“Creemos con moderada confianza que Jumpy Pisces, o una facci\u00f3n del grupo, ahora est\u00e1 colaborando con el grupo de ransomware Play”, Unidad 42 de Palo Alto Networks. dicho<\/a> en un nuevo informe publicado hoy.<\/p>\n

“Este incidente es significativo porque marca la primera colaboraci\u00f3n registrada entre el grupo Jumpy Pisces patrocinado por el estado norcoreano y una red clandestina de ransomware”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Andariel, activo desde al menos 2009, est\u00e1 afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Anteriormente se hab\u00eda observado la implementaci\u00f3n de otras dos cepas de ransomware conocidas como SHATTEREDGLASS y Maui.<\/p>\n

A principios de este mes, Symantec, parte de Broadcom, se\u00f1al\u00f3 que tres organizaciones diferentes en los EE. UU. fueron atacadas por un equipo de pirater\u00eda patrocinado por el estado en agosto de 2024 como parte de un ataque probablemente motivado por motivos financieros, a pesar de que no se implement\u00f3 ning\u00fan ransomware en sus redes.<\/p>\n

Play, por otro lado, es una operaci\u00f3n de ransomware que se cree que ha afectado a aproximadamente 300 organizaciones hasta octubre de 2023. Tambi\u00e9n se conoce como Balloonfly, Fiddler Scorpius y PlayCrypt.<\/p>\n

\"Jugar<\/a><\/div>\n

Si bien la empresa de ciberseguridad Adlumin revel\u00f3 a fines del a\u00f1o pasado que la operaci\u00f3n puede haber pasado a un modelo de ransomware como servicio (RaaS), los actores de amenazas detr\u00e1s de Play han anunciado desde entonces en su sitio de filtraci\u00f3n de datos de la web oscura que ese no es el caso.<\/p>\n

En el incidente investigado por la Unidad 42, se cree que Andariel obtuvo acceso inicial a trav\u00e9s de una cuenta de usuario comprometida en mayo de 2024, seguido de actividades de persistencia y movimiento lateral utilizando el marco de comando y control (C2) de Sliver y una puerta trasera personalizada llamada Dtrack. (tambi\u00e9n conocido como Valefor y Preft).<\/p>\n

“Estas herramientas remotas continuaron comunic\u00e1ndose con su servidor de comando y control (C2) hasta principios de septiembre”, dijo la Unidad 42. “Esto finalmente llev\u00f3 a la implementaci\u00f3n del ransomware Play”.<\/p>\n

La implementaci\u00f3n del ransomware Play fue precedida por un actor de amenazas no identificado que se infiltr\u00f3 en la red utilizando la misma cuenta de usuario comprometida, despu\u00e9s de lo cual se le observ\u00f3 realizando recolecci\u00f3n de credenciales, escalada de privilegios y desinstalaci\u00f3n de sensores de detecci\u00f3n y respuesta de puntos finales (EDR), todas caracter\u00edsticas distintivas de la anterior. -actividades de ransomware.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Tambi\u00e9n se utiliz\u00f3 como parte del ataque un binario troyanizado que es capaz de recopilar el historial del navegador web, informaci\u00f3n de autocompletar y detalles de tarjetas de cr\u00e9dito para Google Chrome, Microsoft Edge y Brave.<\/p>\n

El uso de la cuenta de usuario comprometida tanto por parte de Andariel como de Play Asia, la conexi\u00f3n entre los dos conjuntos de intrusi\u00f3n surge del hecho de que la comunicaci\u00f3n con el servidor Sliver C2 (172.96.137[.]224) continu\u00f3 hasta el d\u00eda antes de la implementaci\u00f3n del ransomware. La direcci\u00f3n IP C2 ha estado desconectada desde el d\u00eda en que se realiz\u00f3 la implementaci\u00f3n.<\/p>\n

“A\u00fan no est\u00e1 claro si Jumpy Pisces se ha convertido oficialmente en afiliado del ransomware Play o si actu\u00f3 como IAB. [initial access broker] vendiendo acceso a la red a los actores del ransomware Play”, concluy\u00f3 la Unidad 42. “Si el ransomware Play no proporciona un ecosistema RaaS como afirma, es posible que Jumpy Pisces s\u00f3lo haya actuado como un IAB”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n