Los grupos APT de China pueden estar buscando sacar provecho



Dos campañas dieron como resultado unidades encriptadas y notas de rescate, lo que sugiere que algunos grupos de amenazas persistentes avanzadas de estados-nación vinculados a China han agregado ganancias financieras como motivo, dicen los investigadores.

Un grupo patrocinado por un estado vinculado a China ha comenzado a adoptar tácticas de ransomware y parece estar buscando ganancias financieras contra empresas que de otro modo no se considerarían objetivos de espionaje, según un análisis de una serie de ataques de ransomware publicado el 4 de enero.

Los ataques se dirigieron al menos a cinco compañías de juegos de azar en línea en la primera mitad de 2020 y tenían las características del grupo APT27, también conocido como Emissary Panda, según el análisis escrito por Stability Joes y Profero, dos firmas boutique de respuesta a incidentes que ayudaron a las firmas. en defenderse y limpiar después de los ataques.

El motivo financiero y el uso de ransomware sería un cambio para los piratas informáticos patrocinados por el estado vinculados a China, que normalmente se han centrado en objetivos de espionaje, dice Omri Segev Moyal, director ejecutivo de Profero.

«En este caso particular, fue 100% para monetización porque no estaban encriptando archivos de una organización de inteligencia o eliminándolos para ocultar sus huellas», dice Moyal. «Fueron directamente a las joyas de la corona, no exfiltraron ningún dato reasonable y simplemente los cifraron con BitLocker. Fue un retiro de efectivo de alto riesgo contra compañías específicas».

Los grupos de operaciones cibernéticas de otros países ocasionalmente han cifrado datos. Los atacantes vinculados a Irán han eliminado discos duros en el conglomerado petrolero nacional de Arabia Saudita, Saudi Aramco. Y Rusia es ampliamente considerada como la fuente del ataque de limpiaparabrisas NotPetya contra empresas ucranianas, que parecía ser un ataque de ransomware pero se extendió rápidamente y dañó las operaciones en empresas de todo el mundo.

Algunos grupos de piratas informáticos rusos han implementado ransomware, pero Corea del Norte es el estado-nación más conocido que utiliza ransomware para desviar fondos de empresas globales con regularidad.

Mientras el informe cubrió la atribución de los ataques – vacilando entre comentar las similitudes con un grupo conocido como Winnti y APT27 – Moyal concluye que toda la evidencia conduce a un grupo respaldado por China con «100%» de certeza.

«Es realmente difícil saber si se trata de una agencia militar china o de uno de los subcontratistas que trabajan para el gobierno», dice. «Al ultimate del día, son las mismas personas. Puede ser el mismo subcontratista o el mismo grupo o las mismas personas».

APT27 no sería el primer grupo de espionaje chino en cambiar a ataques con motivación financiera. En marzo de 2020, la empresa de ciberseguridad FireEye publicó un análisis extenso de un grupo, APT41, que también parecía combinar el ciberespionaje y el beneficio económico personalized. El grupo utilizó exploits para dispositivos de crimson privada virtual (VPN) y escritorios virtuales para afectar a empresas de una variedad de industrias en al menos 20 países, incluidos los Estados Unidos, pero no China o Rusia.

«(Evaluamos) con gran confianza que APT41 es un prolífico grupo de amenazas cibernéticas que lleva a cabo actividades de espionaje patrocinadas por el estado chino, además de actividades con motivaciones financieras que potencialmente están fuera del control estatal», FireEye declarado en un informe posterior. «La actividad se remonta a 2012, cuando los miembros individuales de APT41 llevaron a cabo operaciones principalmente con motivaciones financieras centradas en la industria de los videojuegos antes de expandirse a una possible actividad patrocinada por el estado».

En septiembre, Estados Unidos acusó a cinco miembros del grupo APT41 de piratería.

En los últimos ataques, el grupo APT27 también se distingue porque no united states of america programas de ransomware comunes, sino que united states el cifrado nativo en muchas máquinas Windows, BitLocker, para codificar los datos en las máquinas infectadas. BitLocker es una forma común de cifrar datos y discos duros en equipos que ejecutan Home windows Expert.

«Lo único del incidente aquí es que no utilizaron ningún ransomware comercial o especializado para la negación, como Maze o Ryuk», dice Moyal de Profero. «Aquí, utilizaron directamente, a través de DRBControl, los comandos de BitLocker directamente desde la carga útil».

El malware instalado en los sistemas comprometidos permite una pequeña lista de comandos, que incluyen recopilar información del sistema, cambiar el protocolo de comunicaciones, hacer ping al servidor de comando y handle y cargar malware adicional en la máquina.

Moyal tiene fe en la atribución del ataque que se hace en el informe, pero las razones detrás del cambio a ataques con motivación financiera siguen siendo un misterio, dice.

«Ocurrió durante el pico de COVID-19, casi todos los lugares del mundo estaban bloqueados», dice. «¿Por qué cambió? ¿Tenían algo en contra de las compañías de juegos? ¿O era un miembro deshonesto del grupo que buscaba efectivo? ¿O puede ser el gobierno buscando fondos imposibles de rastrear? No lo sabemos».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Know-how Critique, Well known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique