Ciberdelincuentes Norcoreanos Y Ransomware Play: Nueva Amenaza
Un reciente incidente de ciberseguridad ha revelado una alianza entre el grupo de ciberdelincuentes norcoreanos Jumpy Pisces (también conocido como Andariel, APT45, entre otros) y la red de ransomware Play. Este actor desplegó el ransomware Play entre mayo y septiembre de 2024, lo que sugiere una tendencia creciente de grupos patrocinados por estados a colaborar con actores criminales para obtener ganancias financieras. Según un informe de Palo Alto Networks, esta colaboración es la primera de su tipo y representa una nueva amenaza en el panorama de la ciberseguridad.
Andariel, un actor de amenazas patrocinado por el estado norcoreano con un historial de ataques desde 2009 y afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte, ha sido identificado como el responsable detrás de un reciente incidente con el ransomware Play. El grupo utilizó el marco de comando y control (C2) Silver y un backdoor llamado Dtrack para comprometer una cuenta de usuario y moverse lateralmente dentro de la red de la víctima. Antes de desplegar Play, Andariel llevó a cabo actividades típicas de pre-ransomware, como la recolección de credenciales y la desinstalación de herramientas de seguridad. Este incidente destaca la creciente sofisticación de los ataques de ransomware y la capacidad de los actores estatales para aprovechar estas herramientas con fines financieros.
Play es una operación de ransomware que se cree ha afectado a aproximadamente 300 organizaciones hasta la fecha. También es conocido por los nombres de Balloonfly, Fiddling Scorpius y PlayCrypt.
Como parte del ataque, se utilizó un binario troyanizado capaz de recopilar el historial del navegador web, información de autocompletado y datos de tarjetas de crédito en Google Chrome, Microsoft Edge y Brave. El uso de la cuenta comprometida tanto por Andariel como por Play, y la conexión entre los dos conjuntos de intrusión, se deriva del hecho de que la comunicación con el servidor C2 de Silver se mantuvo activa hasta el día anterior al despliegue del ransomware. La dirección IP del C2 ha estado desconectada desde el día en que se produjo el despliegue.
Hace dos semanas, Microsoft advirtió que los estados-nación y los ciberdelincuentes han estado coordinando sus actividades más que nunca. Sus investigadores descubrieron que Rusia, Corea del Norte e Irán están desplegando ransomware como una forma de obtener beneficios económicos de sus operaciones cibernéticas ofensivas.
En varios casos, el ransomware se ha utilizado como tapadera para actividades de espionaje chino. Las fuerzas de seguridad también han observado casos de ciberdelincuentes gubernamentales iraníes que utilizan su acceso oficial para lanzar ataques con fines económicos, como parte de un esfuerzo por duplicar y pluriemplearse como ciberdelincuentes, monetizando sus habilidades de hacking.
El FBI declaró en agosto que había sido testigo de la asociación de actores iraníes con afiliados de las operaciones de ransomware NoEscape, Ransomhouse y AlphV, quienes acabaron llevándose un porcentaje de los pagos de los rescates.
Los actores norcoreanos han sido acusados desde hace tiempo de utilizar estos mismos ransomwares en ataques. En julio, Estados Unidos acusó al ciudadano norcoreano Rim Jong Hyok por su presunta participación en ataques de ransomware contra hospitales y empresas sanitarias estadounidenses. Como miembro de la Oficina General de Reconocimiento, Rim supuestamente utilizó el ransomware Maui en 2021 y 2022 para atacar un hospital en Kansas, cinco proveedores de atención médica, cuatro contratistas de defensa con sede en Estados Unidos, dos bases de la Fuerza Aérea de EE.UU. y la Oficina del Inspector General de la NASA.
Más información:
- North Korean Group Collaborates with Play Ransomware in Significant Cyber Attack https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
- North Korean hackers seen collaborating with Play ransomware group, researchers say https://therecord.media/north-korean-hackers-collaborate-with-play-ransomware
- Play ransomware attack tied to North Korean nation-state actor https://www.techtarget.com/searchsecurity/news/366614876/Play-ransomware-attack-tied-to-North-Korean-nation-state-actor
Via: unaaldia.hispasec.com