TrickBot gang es ahora un proveedor de malware para hackers norcoreanos


Corea del Norte-según se informa-estola-2b-en-ola-5d4d934316e22d00012a3ac5-1-agosto-13-2019-12-43-01-poster.jpg

Un informe publicado hoy revela que las unidades de piratería respaldadas por el gobierno de Corea del Norte están alquilando acceso a herramientas de piratería de élite y acceso a redes pirateadas de los operadores de la purple de bots TrickBot.

La revelación llega a confirmar una tendencia observada en los últimos años, a saber, que las líneas entre el cibercrimen normal y las operaciones de ciberespionaje de los estados nacionales se están borrando.

Esta tendencia salió a la luz en 2017 cuando un informe reveló cómo la mente maestra detrás de la botnet de malware GameOver Zeus había sido ayudando a la inteligencia rusa reunir documentos confidenciales de las computadoras que estaba infectando.

Pero Bogatchev no fue un caso aislado. La semana pasada, Estados Unidos acusó al administrador de la crimson de bots de malware Dridex, acusándolo de lo mismo: de colaborar con la inteligencia estatal de Rusia en su búsqueda de datos confidenciales.

Estos dos casos muestran un contacto directo entre los creadores del malware well known y el aparato de inteligencia de un país.

En realidad, estas líneas se han difuminado en un nivel mucho más bajo. Durante años, hemos visto grupos de hackeo de estado-nación que adoptan lentamente malware malicioso. En lugar de desarrollar sus propias herramientas, los operadores patrocinados por el estado eligen comprar malware que ya está disponible para la venta en línea.

Esto les ayuda a ocultar operaciones «dirigidas» en una gran corriente de infecciones mundanas, perpetradas por hackers con motivación financiera.

En un informe publicado hoy por la empresa de seguridad cibernética SentinelOne, nos enteramos de una nueva conexión entre un grupo de piratería patrocinado por el estado (Grupo Lazarus de Corea del Norte) y una operación de malware mundano (TrickBot).

Según el equipo de SentinelOne, el Grupo Lazarus se ha convertido recientemente en cliente de la pandilla TrickBot, de quien alquilan acceso a sistemas ya infectados, junto con un nuevo tipo de marco de ataque que los investigadores llaman Anchor.

El imperio del delito cibernético TrickBot

SentinelOne explain Anchor como «una colección de herramientas» combinadas en una nueva variedad de malware.

La variedad de malware Anchor se proporciona como un módulo TrickBot.

TrickBot es una de las tres principales botnets de malware de la actualidad, junto con Emotet y Dridex. Es una purple gigantesca de computadoras que han sido infectadas con el troyano TrickBot.

Sin embargo, TrickBot también es una operación de Cibercrimen como servicio. La pandilla TrickBot alquila el acceso a las computadoras infectadas por TrickBot a otras pandillas de malware.

Estas pandillas varían desde operadores de ransomware hasta spammers en línea, estafadores y más. Los inquilinos pueden usar el troyano TrickBot para instalar su propio malware o uno de los módulos TrickBot disponibles, según las operaciones que deseen realizar en los hosts infectados.

Conoce a Anchor, el módulo más avanzado de TrickBot

En informes publicados hoy por ambos Cybereason y Centinela, las dos compañías dicen que Anchor es un nuevo módulo TrickBot que fue construido para un nicho de mercado específico, es decir, para hackers que buscan permanecer en silencio y sin ser detectados en los sistemas que infectan.

Anchor es el intento de TrickBot de crear un módulo en torno a las características de sigilo primero. Es una herramienta para ser utilizada en ataques dirigidos a grandes corporaciones, donde los piratas informáticos deben permanecer sin ser detectados durante semanas o meses, mientras roban datos, e incluso mucho después de que finalizara la intrusión.

SentinelOne describió a Anchor como «un marco de ataque todo en uno diseñado para atacar entornos empresariales».

Se compone de diferentes submódulos que proporcionan las diversas características necesarias en los ataques dirigidos, pero que no tienen utilidad para otros clientes de TrickBot.

Esto incluye los submódulos de anclaje para extenderse lateralmente a través de una red, la capacidad de instalar puertas traseras para acceso futuro, funciones para los sistemas de punto de venta (POS) de destino y raspar la memoria RAM para los datos de la tarjeta, y la capacidad de limpiar los sistemas después de una infección ocultar las huellas de un intruso.

TrickBot Anchor "src =" https://zdnet4.cbsistatic.com/hub/i/2019/12/11/37e45975-b179-49e5-bed1-987cc5dc2f25/trickbot-anchor.jpg

Imagen: SentinelOne

A primera vista, Anchor parece una herramienta que la pandilla TrickBot desarrolló para grupos de hackers interesados ​​en el espionaje económico o para los operadores de cepas de malware POS.

Es muy unbelievable que la pandilla TrickBot haya desarrollado el módulo sigiloso TrickBot Anchor para grupos de piratería de estados nacionales sin embargo, encontró un cliente en sus filas.

SentinelOne dijo que vinculaba los ataques llevados a cabo por el Grupo Lazarus de Corea del Norte con TrickBot y su nuevo marco de ataque Anchor.

En su informe publicado hoy, SentinelOne dijo que encontraron un caso en el que el Grupo Lazarus parece haber alquilado el acceso a un sistema infectado a través de la botnet TrickBot y luego utilizó el marco de ataque Anchor (módulo TrickBot) para instalar PowerRatankba, una puerta trasera de PowerShell, en la crimson de una empresa pirateada.

TrickBot Anchor "src =" https://zdnet4.cbsistatic.com/hub/i/2019/12/11/7039e557-18b4-417b-9b7c-0bc18c628394/trickbot-anchor-lazarus.jpg

Imagen: SentinelOne

SentinelOne no explicó qué estaba haciendo Lazarus Team en la crimson de la compañía pirateada, pero se sabe que los piratas informáticos norcoreanos incursionan en ataques de ciberespionaje y motivados financieramente.

A principios de este año, el Tesoro de los Estados Unidos impuso sanciones a las entidades asociadas con tres grupos de piratería de Corea del Norte que fueron atrapados robando dinero de bancos e intercambios de criptomonedas para financiar el programa de armas del país.

No obstante, los piratas informáticos norcoreanos no eran los únicos clientes de Anchor.

Cybereason no vio al Grupo Lazarus usando Anchor, pero, en cambio, vieron «una nueva ola de campañas dirigidas contra empresas financieras, manufactureras y minoristas que comenzaron a principios de octubre», donde se había utilizado Anchor.

«A diferencia de los ataques relacionados con Trickbot anteriormente informados que resultan en una infección masiva de ransomware, esta nueva ola de ataques se enfoca en robar información reasonable de los sistemas de punto de venta (POS) y otros recursos sensibles en las redes de las víctimas, al comprometer los activos críticos en el crimson «, dijo el equipo de Cybereason.

«Estos ataques enfatizan aún más el peligro que existe dentro de las infecciones de malware de productos básicos que a veces pueden subestimarse, debido a su comunidad y alto volumen», agregaron los investigadores.

«Es importante recordar que una vez que un punto ultimate está infectado con un determinado malware, depende de la decisión de los atacantes cómo continuar».



Enlace a la noticia unique