Un grupo de amenazas emergentes que se origin\u00f3 en Corea del Norte se ha relacionado con el desarrollo y el uso de ransomware en ataques cibern\u00e9ticos dirigidos a peque\u00f1as empresas desde septiembre de 2021.<\/p>\n
El grupo, que se autodenomina H0lyGh0st por la carga \u00fatil de ransomware del mismo nombre, est\u00e1 siendo rastreado por Microsoft Threat Intelligence Center bajo el nombre DEV-0530, una designaci\u00f3n asignada para un grupo desconocido, emergente o en desarrollo de actividad de amenazas.<\/p>\n
Las entidades objetivo incluyen principalmente peque\u00f1as y medianas empresas, como organizaciones de fabricaci\u00f3n, bancos, escuelas y empresas de planificaci\u00f3n de eventos y reuniones.<\/p>\n
“Junto con su carga \u00fatil H0lyGh0st, DEV-0530 mantiene un sitio .onion que el grupo usa para interactuar con sus v\u00edctimas”, dijeron los investigadores. dijo<\/a> en un an\u00e1lisis del jueves.<\/p>\n “La metodolog\u00eda est\u00e1ndar del grupo es encriptar todos los archivos en el dispositivo de destino y usar la extensi\u00f3n de archivo .h0lyenc, enviar a la v\u00edctima una muestra de los archivos como prueba y luego exigir el pago en Bitcoin a cambio de restaurar el acceso a los archivos”.<\/p>\n Las cantidades de rescate exigidas por DEV-0530 oscilan entre 1,2 y 5 bitcoins, aunque un an\u00e1lisis de la billetera de criptomonedas del atacante no muestra pagos de rescate exitosos de sus v\u00edctimas a principios de julio de 2022.<\/p>\n Se cree que DEV-0530 tiene conexiones con otro grupo norcoreano conocido como Plutonium (tambi\u00e9n conocido como DarkSeoul o Andariel), un subgrupo que opera bajo el paraguas de Lazarus (tambi\u00e9n conocido como Zinc o Hidden Cobra).<\/p>\n Tambi\u00e9n se sabe que el esquema il\u00edcito adoptado por el actor de amenazas toma una hoja del panorama del ransomware, aprovechando las t\u00e1cticas de extorsi\u00f3n para presionar a las v\u00edctimas para que paguen o se arriesguen a que su informaci\u00f3n se publique en las redes sociales.<\/p>\n El portal web oscuro de DEV-0530 afirma que su objetivo es “cerrar la brecha entre ricos y pobres” y “ayudar a los pobres y hambrientos”, en una t\u00e1ctica que refleja otra familia de ransomware llamada GoodWill que obliga a las v\u00edctimas a donar a causas sociales y proporcionar asistencia financiera a personas necesitadas.<\/p>\n Las migas de pan t\u00e9cnicas que vinculan al grupo con Andariel se derivan de las superposiciones en el conjunto de infraestructura, as\u00ed como de las comunicaciones entre las cuentas de correo electr\u00f3nico controladas por los dos colectivos atacantes, con actividad DEV-0530 observada constantemente durante la hora est\u00e1ndar de Corea (UTC+09:00). . <\/p>\n “A pesar de estas similitudes, las diferencias en el ritmo operativo, la orientaci\u00f3n y el comercio sugieren que DEV-0530 y el plutonio son grupos distintos”, se\u00f1alaron los investigadores.<\/p>\n En una se\u00f1al que sugiere un desarrollo activo, se produjeron cuatro variantes diferentes del ransomware H0lyGh0st entre junio de 2021 y mayo de 2022 para apuntar a los sistemas Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe y BLTC.exe.<\/p>\n Mientras que BTLC_C.exe (llamado SiennaPurple) est\u00e1 escrito en C++, las otras tres versiones (con nombre en c\u00f3digo SiennaBlue) est\u00e1n programadas en Go, lo que sugiere un intento por parte del adversario de desarrollar malware multiplataforma. <\/p>\n Las cepas m\u00e1s nuevas tambi\u00e9n vienen con mejoras en su funcionalidad principal, incluida la ofuscaci\u00f3n de cadenas y la capacidad de eliminar tareas programadas y eliminarse de las m\u00e1quinas infectadas.<\/p>\n Se dice que las intrusiones se facilitaron a trav\u00e9s de la explotaci\u00f3n de vulnerabilidades sin parches en aplicaciones web p\u00fablicas y sistemas de gesti\u00f3n de contenido (por ejemplo, CVE-2022-26352), aprovechando la compra para eliminar las cargas \u00fatiles de ransomware y filtrar datos confidenciales antes de cifrar el archivos<\/p>\n Los hallazgos llegan una semana despu\u00e9s de que las agencias de inteligencia y ciberseguridad de EE. UU. advirtieran sobre el uso del ransomware Maui por parte de piratas inform\u00e1ticos respaldados por el gobierno de Corea del Norte para apuntar al sector de la salud desde al menos mayo de 2021.<\/p>\n La expansi\u00f3n de los atracos financieros al ransomware se considera una t\u00e1ctica m\u00e1s patrocinada por el gobierno de Corea del Norte para compensar las p\u00e9rdidas por sanciones, desastres naturales y otros reveses econ\u00f3micos.<\/p>\n Pero dado el conjunto reducido de v\u00edctimas que normalmente se asocia con la actividad patrocinada por el estado contra las organizaciones de criptomonedas, Microsoft teoriz\u00f3 que los ataques podr\u00edan ser una actividad secundaria para los actores de amenazas involucrados.<\/p>\n “Es igualmente posible que el gobierno de Corea del Norte no est\u00e9 permitiendo o apoyando estos ataques de ransomware”, dijeron los investigadores. “Las personas con v\u00ednculos con la infraestructura y las herramientas de plutonio podr\u00edan trabajar como segundo empleo para beneficio personal. Esta teor\u00eda del segundo empleo podr\u00eda explicar la selecci\u00f3n a menudo aleatoria de v\u00edctimas a las que apunta DEV-0530”.<\/p>\n El desarrollo tambi\u00e9n se produce a medida que el panorama del ransomware est\u00e1 evolucionando con grupos de ransomware nuevos y existentes, a saber, LockBit, Hive, Lilith, RedAlert (tambi\u00e9n conocido como N13V) y 0mega, incluso cuando la pandilla Conti cerr\u00f3 formalmente sus operaciones en respuesta a una fuga masiva de su chats internos.<\/p>\n Agregando combustible al fuego, el sucesor mejorado de LockBit tambi\u00e9n viene con un nuevo sitio de fuga de datos que permite a cualquier actor comprar datos robados de las v\u00edctimas, sin mencionar la incorporaci\u00f3n de una funci\u00f3n de b\u00fasqueda que facilita la aparici\u00f3n de informaci\u00f3n confidencial.<\/p>\n Otras familias de ransomware tambi\u00e9n han agregado capacidades similares en un intento de crear bases de datos de b\u00fasqueda de informaci\u00f3n robada durante los ataques. En esta lista se destacan PYSA, BlackCat (tambi\u00e9n conocido como ALPHV) y la rama de Conti conocida como Karakurt, seg\u00fan un informe de computadora pitido<\/a>.<\/p>\n Basado en estad\u00edsticas recopiladas por Sombras digitales<\/a>705 organizaciones fueron nombradas en sitios web de fuga de datos de ransomware en el segundo trimestre de 2022, lo que representa un aumento del 21,1 % desde el primer trimestre de 2022. Las principales familias de ransomware durante el per\u00edodo incluyeron LockBit, Conti, BlackCat, Black Basta y Vice Sociedad<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"H0lyGh0st](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657885936_201_Hackers-de-Corea-del-Norte-apuntan-a-pequenas-y-medianas.jpg\" "\\"H0lyGh0st")
<\/div>\n![\"H0lyGh0st](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657885936_740_Hackers-de-Corea-del-Norte-apuntan-a-pequenas-y-medianas.jpg\" "\\"H0lyGh0st")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\nLa amenaza del ransomware evoluciona en un mundo posterior a Conti<\/h3>\n