0
0
Agências dos EUA e da Coreia do Sul emitiram um comunicado conjunto sobre segurança cibernética descrevendo as táticas, técnicas e procedimentos usados por hackers norte-coreanos para implantar ransomware “patrocinado pelo Estado” em hospitais e outras organizações que podem ser consideradas parte da infraestrutura crítica dos países.
“As agências de criação avaliam que uma quantia não especificada de receita dessas operações de criptomoeda apoia as prioridades e objetivos de nível nacional da RPDC, incluindo operações cibernéticas direcionadas aos governos dos Estados Unidos e da Coréia do Sul – alvos específicos incluem redes de informações do Departamento de Defesa e redes de membros da Base Industrial de Defesa. ”, aponta a assessoria.
Simultaneamente, a Coreia do Sul impôs sanções a quatro indivíduos norte-coreanos e sete entidades por seu envolvimento nesses e em outros crimes cibernéticos sancionados pelo estado, cujos rendimentos são usados para financiar programas nucleares e militares norte-coreanos.
TTP dos atacantes
Esses agentes de ameaças norte-coreanos geram domínios, personas e contas e pagam por eles com criptomoeda roubada ou criptomoeda recebida como resgate por dados criptografados, dizem as agências.
Eles “propositalmente ofuscam seu envolvimento operando com ou sob identidades de afiliados estrangeiros terceirizados e usam intermediários estrangeiros terceirizados para receber pagamentos de resgate” e “usam redes privadas virtuais (VPNs) e servidores privados virtuais (VPSs) ou servidores de terceiros Os endereços IP parecem ser de locais inócuos em vez da República Popular Democrática da Coreia.”
Erros operacionais ocasionalmente os denunciam: em uma campanha documentada recentemente visando organizações de pesquisa do setor público e privado e o setor de pesquisa médica e energia, por exemplo, os pesquisadores encontraram um dos webshells conectando-se a um endereço IP de Internet estatal norte-coreano.
“Suspeitamos que tenha sido uma falha operacional no início do dia de trabalho. Existem MUITO poucos endereços IP na Coreia do Norte e eles são controlados diretamente pelo governo”, observou Mikko Hyppönen, diretor de pesquisa da WithSecure.
Os hackers norte-coreanos exploram uma variedade de vulnerabilidades para obter acesso inicial aos sistemas dos alvos, incluindo Log4Shell e vulnerabilidades em aparelhos SonicWall não corrigidos. Eles também usam software trojanizado, malware personalizado para realizar atividades de reconhecimento, usam ransomware desenvolvido de forma privada ou disponível publicamente (e ocasionalmente se fazem passar por outros grupos de ransomware conhecidos) e exigem resgate em criptomoeda.
“Os atores são conhecidos por se comunicar com as vítimas por meio de contas de e-mail do Proton Mail. Para empresas privadas do setor de saúde, os atores podem ameaçar expor os dados proprietários de uma empresa aos concorrentes se os resgates não forem pagos”, dizem as agências. Para ajudar as vítimas, o comunicado contém conselhos de mitigação de ameaças e indicadores de comprometimento.
O chefe da Mandiant Threat Intelligence, John Hultquist, observou na quinta-feira que vários hospitais tiveram que enfrentar grandes interrupções devido a esta campanha norte-coreana, e que grande parte dessa atividade foi obscurecida porque “hospitais pagam ou consertam silenciosamente e poucos relatam”.
“Os norte-coreanos escondem a mão fingindo ser conhecidos atores criminosos de ransomware. Sem atribuição e atenção do público este problema não vai desaparecer”, acrescentou .
FONTE: HELPNET SECURITY