Ransomware de Corea del Norte apunta a sector salud de Japón

Corea del Norte no sólo ha enviado ataques con misiles a Japón, sino también lo tiene identificado como blanco en ataques cibernéticos con ransomware, de acuerdo con el reporte de actividad de amenazas persistentes avanzadas correspondiente al tercer trimestre de 2022 hecho por Kaspersky.

El reporte de la firma de ciberseguridad señala que los actores ciberatacantes, que son patrocinados por el estado de Corea del Norte, utilizan el ransomware Maui con el objetivo de hacer daño al sector salud y de la salud pública.

“Podemos confirmar un incidente de ransomware Maui en 2022, pero expandiríamos su fecha de ‘primera vista’ desde mayo de 2021 informado hasta el 15 de abril de 2021, y la geolocalización del objetivo a Japón e India”, señaló Kaspersky.

El informe advierte que dado que el malware en este incidente se compiló el 15 de abril de 2021 y las fechas de compilación son las mismas para todas las muestras conocidas, es probable que este incidente sea el primero que involucre el ransomware Maui.

Afirmaron que cuando los atacantes encuentran datos dignos de atención, es cuando el  ransomware Maui entra en el juego. Usualmente, aseguran, los ataques de hosts se detectan 10 horas después de la activación del malware DTrack. Incluso Kaspersky cita un reporte de la firma Stairwell, quienes han estudiado las muestras de dicho malware, y concluyeron que los operadores controlan el ransomware de forma manual, o sea, especifican qué datos van a cifrar.

El documento de Kaspersky advirtió que el grupo Andariel es el que se ha identificado como uno de los que realizan dichos ataques a cualquier empresa y gobierno. Por ejemplo, en junio de 2022, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) reportó que el ransomware Maui está dirigido principalmente a empresas y organizaciones del gobierno estadounidense en el sector de la salud. Sin embargo, el equipo de Kaspersky dijo que también detectó al menos un ataque a una empresa inmobiliaria en Japón, así como distintas víctimas en India, Vietnam y Rusia.

Explicaron también que una de las herramientas del grupo Andariel es el malware Dtrack, que recopila información sobre una víctima y la envía a un host remoto. Detallaron que, entre otras cosas, Dtrack recopila el historial del navegador y lo guarda en un archivo por separado.

Te puede interesar: América Latina es la nueva exportadora de troyanos bancarios

También Rusia

Los ataques detectados no sólo tienen su origen en Corea del Norte, sino también en Rusia, y estos han sido dirigidos a distintos objetivos.

Las investigaciones recientes de Kaspersky muestran que en 2022, al menos desde febrero, HotCousin ha intentado comprometer a los ministerios de Relaciones Exteriores en Europa, Asia, África y América del Sur.

Las víctimas son el objetivo de correos electrónicos de phishing selectivo que los engañan para que monten un archivo malicioso y hagan doble clic en un link, lo que inicia la cadena de infección.

El reporte detalló que la primera infección generalmente tiene como objetivo instalar un descargador, el cual intenta descargar otros implantes maliciosos de servicios Web legítimos. Dijeron que la carga útil final suele ser un implante comercialmente disponible como Cobalt Strike.

Algunas de estas actividades también fueron observadas por otros proveedores, en particular con descripciones de descargadores que obtienen implantes adicionales de servicios externos como Dropbox, Google Drive y Trello, explicó Kaspersky.

“En la mayoría de los casos, los objetivos parecen ser organizaciones diplomáticas y gubernamentales en Europa. Todavía no podemos identificar ningún vínculo significativo entre HotCousin y Dark Halo/NOBELIUM o The Dukes/APT29, pero los objetivos, las técnicas y el oficio coinciden con actividades que se describen públicamente como APT29”, añadió.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies