Nueva actividad de amenazas de Lazarus Group deletrea problemas …


El grupo respaldado por Corea del Norte ha lanzado varias campañas para recaudar ingresos para el programa de misiles de una nación con problemas de liquidez, dicen los expertos en seguridad.

Una advertencia del gobierno de EE. UU. La semana pasada sobre nuevos ataques contra bancos en varios países ha centrado la atención en lo que ha sido un año particularmente ajetreado para el grupo de amenazas persistentes avanzadas (APT) de Lazarus.

En los últimos meses, el grupo ha intensificado sus esfuerzos para recaudar dinero para su patrocinador, el gobierno norcoreano con problemas de liquidez, a través de numerosas campañas dirigidas a organizaciones en el espacio de las criptomonedas y el sector financiero. Últimamente, los investigadores de seguridad también han observado que el grupo lanza ataques de ransomware en organizaciones empresariales a través de archivos de disco duro digital (VHD), una táctica algo poco común hasta ahora. Las campañas recientes han involucrado nuevas herramientas y tácticas, incluido un marco de malware multiplataforma llamado MATA para lanzar ataques contra entornos Home windows, Linux y MacOS.

Los ataques que provocaron la semana pasada consultivo involucra a «BeagleBoyz», un grupo que la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Homeland (CISA) describió como rastreado por otros en la industria de la seguridad como «Lazarus», «APT38» y «Bluenoroff». Según CISA, el grupo, después de una breve pausa, ha reanudado sus ataques a bancos de varios países para realizar ataques de retiro de efectivo en cajeros automáticos y para iniciar transferencias de dinero internacionales fraudulentas.

La nueva ronda de ataques comenzó en febrero de 2020 y, por lo typical, involucró al grupo comprometiendo de forma remota los servidores de cambio de pago en los bancos y luego usándolos para permitir retiros fraudulentos de cajeros automáticos. En un ataque related en 2017, el Grupo Lazarus permitió el retiro simultáneo de dinero de los cajeros automáticos de un banco víctima en más de 30 países.

Una de las principales preocupaciones de los bancos es el hecho de que los ataques del Grupo Lazarus a veces han dejado inoperables los sistemas bancarios durante períodos prolongados, dijo CISA. Como ejemplo, señaló un ataque en 2018 a un banco en África que interrumpió los servicios de cajeros automáticos y puntos de venta de la institución financiera durante casi dos meses. En otro ataque de 2018 a un banco en Chile, el actor de amenazas implementó malware de limpieza de disco para ocultar sus pistas, bloqueando miles de computadoras y servidores del banco.

«El esquema generalizado de robo de bancos internacional de Corea del Norte que explota los sistemas bancarios críticos puede erosionar la confianza en esos sistemas y presenta riesgos para las instituciones financieras en todo el mundo», señaló el aviso de CISA.

CISA identificó los ataques como dirigidos a instituciones financieras en más de tres docenas de países, incluidos Argentina, Brasil, Japón, India, México, Filipinas, Singapur y Corea del Sur. Su aviso proporciona una descripción completa del malware, las tácticas y las técnicas que utiliza el grupo para violar las instituciones financieras, mantener la persistencia, elevar los privilegios, evadir la detección y ocultar sus pistas.

Jugador clave
En los últimos años, el Grupo Lazarus se ha convertido en uno de los actores clave en lo que el gobierno de EE. UU. Ha descrito como un esfuerzo sistemático del gobierno de Corea del Norte para recaudar dinero ilícitamente a través del robo cibernético patrocinado por el estado. Se cree que el régimen cargado de sanciones está utilizando los ingresos para financiar su programa de misiles balísticos, que Estados Unidos y otros han descrito como una amenaza para la región.

Las fuerzas del orden de EE. UU. acusado formalmente Corea del Norte de patrocinar a piratas informáticos, desarrolladores de computer software, criptólogos y otros para realizar espionaje y robar dinero de instituciones financieras, intercambios de criptomonedas y organizaciones empresariales. Ha acusado a varias personas en relación con estas actividades en los últimos años.

El gobierno ha atribuido numerosos incidentes cibernéticos en los últimos años, incluidos los que involucran extorsión cibernética y cryptojacking, a actores norcoreanos. Entre ellos se encuentra el ataque de noviembre de 2014 a Sony Pics, la pandemia de ransomware WannaCry en mayo de 2017, el robo de decenas de millones de dólares mediante ataques fraudulentos de retiro de efectivo en cajeros automáticos en Asia y África en 2016, y el robo de 250 millones de dólares en electronic. moneda de los intercambios de criptomonedas y unos $ 81 millones del Banco de Bangladesh en 2016. Un panel de expertos del Consejo de Seguridad de la ONU estimó el año pasado que el gobierno de Corea del Norte había intentado robar, en ese momento, al menos $ 2 mil millones a través del robo cibernético y blanqueo de capitales.

Numerosos proveedores e investigadores de seguridad han identificado al Grupo Lazarus, ya sea trabajando solo o en colaboración con otros grupos, como responsable de muchos de estos incidentes, especialmente los motivados financieramente. Se cree que el grupo comprende diferentes unidades, a menudo superpuestas, centradas en diferentes misiones. Se sabe que utiliza una combinación de malware personalizado y herramientas de administración y sistema operativo legítimas para llevar a cabo ataques. También emplea una amplia variedad de tácticas para obtener acceso inicial a una pink, incluso mediante spear-phishing, exploits de vulnerabilidades, robo de credenciales y ataques de abrevadero.

Rosa Smothers, vicepresidenta sénior de operaciones de KnowBe4 y exanalista de amenazas cibernéticas de la CIA, dice que la actividad de amenazas aumentada reciente del Grupo Lazarus probablemente esté relacionada con el empeoramiento de las condiciones dentro de Corea del Norte.

«Las campañas patrocinadas por el estado no ocurren en el vacío», dice. «Es importante tener en cuenta lo que está sucediendo ahora mismo en Corea del Norte: preguntas persistentes sobre el estado físico de Kim Jong Un y su reciente y sorprendentemente pública admisión de la pésima economía del país».

Antes de recurrir al robo cibernético, Corea del Norte utilizó billetes de 100 dólares falsos casi perfectos para recaudar ingresos para el régimen. Ahora la moneda digital le ha brindado al gobierno la capacidad de ganar más dinero, más rápido, dice Smothers.

(Página siguiente: Nuevas campañas)

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Anterior

1 de 2

próximo

Más información





Enlace a la noticia unique