Lazarus de Corea del Norte ofrece un enfoque de piratería patrocinado por el gobierno al ransomware


  Lazarus de Corea del Norte ofrece un enfoque de piratería patrocinado por el estado para el ransomware.

Aurich Lawson / Getty

Lazarus – el grupo de piratería estatal de Corea del Norte detrás del gusano WannaCry, el robo de $ 81 millones de un banco de Bangladesh y los ataques a Sony Pictures – quiere ransomware, según investigadores de Kaspersky Lab – Expande la locura.

Como muchas de las primeras entradas de Lazarus, el ransomware VHD es duro. El malware tardó 10 horas en infectar completamente la red de un objetivo. También se utilizan algunas prácticas criptográficas poco ortodoxas que no son "semánticamente seguras" porque los patrones de los archivos originales se conservan después del cifrado. El malware también parece haber capturado a una víctima al infectar accidentalmente su red privada virtual.

En resumen, VHD no es un Ryuk o WastedLocker. Ambos son conocidos como "cazadores de caza mayor" porque se dirigen a redes de organizaciones de bolsillo y solo llevan días o semanas de vigilancia cuidadosa después de la entrada.

"Es obvio que el grupo no puede conciliar la eficiencia de otras pandillas de delitos cibernéticos con su enfoque de golpear y correr al ransomware dirigido", escribieron los investigadores de Kaspersky Lab Ivan Kwiatkowski, Pierre Delcher y Félix Aime, en un post. “¿Podría realmente establecer un precio de rescate razonable para su víctima en las 10 horas que llevó implementar el software de rescate? ¿Podría incluso averiguar dónde estaban las copias de seguridad? “

Un APT incluye ransomware

VHD llamó la atención de los investigadores por dos razones. Primero, nunca antes habían visto el ransomware. El otro: la técnica de difusión fue atípica para los grupos de cibercrimen. En particular, el ransomware intentó descifrar contraseñas de uso compartido de archivos SMB en cada computadora descubierta y, si tuvo éxito, utilizó la instrumentación de administración de Windows para ejecutarse en los recursos compartidos de red.

El enfoque fue más similar a la campaña de borrado de disco utilizada en los ataques contra Sony Pictures, Shamoon y el malware OlympicDestroyer que interrumpieron los Juegos Olímpicos de Invierno 2018. Los investigadores creen ampliamente que estos ataques fueron llevados a cabo por piratas informáticos patrocinados por el gobierno de Corea del Norte, Irán y Rusia, a menudo denominados APT o amenazas persistentes avanzadas.

"Teníamos más preguntas que respuestas", escribieron los investigadores. “Sentimos que este ataque no se ajustaba a la práctica habitual de los grupos de caza mayor conocidos. Además, solo pudimos encontrar un número muy limitado de ejemplos de ransomware VHD y algunas referencias públicas en nuestra telemetría. Esto indicó que esta familia de ransomware puede no estar muy extendida en los foros del mercado oscuro, como suele ser el caso. “

Después de investigar más, descubrieron que VHD usa una puerta trasera basada en MATA, un marco completo que se ejecuta en Windows, MacOS y Linux. En una publicación publicada la semana pasada, Kaspersky Lab ofreció evidencia que vinculaba fuertemente a MATA con Lazarus. Los investigadores de Malwarebytes llamaron a los dacls de puerta trasera y llegaron a la misma evaluación de forma independiente.

“Los datos disponibles para nosotros indican que el ransomware VHD no es un producto comercial estándar. Hasta donde sabemos, el grupo Lazarus es el único propietario del marco MATA ", escribieron los investigadores de Kaspersky Lab. "Por lo tanto, concluimos que el ransomware VHD también es propiedad de Lazarus y es operado por Lazarus".

El uso de VHD por parte de Lázaro está en línea con la búsqueda del grupo de delitos motivados financieramente, que supuestamente generaron $ 2 mil millones en septiembre pasado para financiar los programas de ADM del país. Como descubrieron los investigadores, el VHD todavía tiene un largo camino por recorrer para realizar los ataques quirúrgicos y específicos de ransomware más avanzado.

"Al final, lo único que importa es si estas operaciones le traerán ganancias a Lazarus", escribieron los investigadores. "Solo el tiempo dirá si comienzan a cazar grandes juegos a tiempo completo o lo descartan como un experimento fallido".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *