Los actores de amenazas con presuntos vínculos con China y Corea del Norte han sido vinculados a ataques de ransomware y cifrado de datos dirigidos a sectores gubernamentales y de infraestructura crítica en todo el mundo entre 2021 y 2023.
Si bien un grupo de actividad se ha asociado con ChamelGang (también conocido como CamoFei), el segundo grupo se superpone con actividad previamente atribuida a grupos patrocinados por los estados de China y Corea del Norte, dijeron las firmas de ciberseguridad SentinelOne y Recorded Future en un informe conjunto compartido con The Hacker News. .
Esto incluye los ataques de ChamelGang dirigidos al All India Institute of Medical Sciences (AIIMS) y a la Presidencia de Brasil en 2022 utilizando el ransomware CatB , así como aquellos dirigidos a una entidad gubernamental en el este de Asia y a una organización de aviación en el subcontinente indio en 2023.
«Los actores de amenazas en el ecosistema de ciberespionaje están participando en una tendencia cada vez más inquietante de utilizar ransomware como etapa final de sus operaciones con el fin de obtener ganancias financieras, perturbaciones, distracciones, atribuciones erróneas o eliminación de pruebas», afirman los investigadores de seguridad Aleksandar Milenkoski y Julian. -Dijo Ferdinand Vögele.
Los ataques de ransomware en este contexto no solo sirven como salida para el sabotaje, sino que también permiten que los actores de amenazas oculten sus huellas destruyendo artefactos que de otro modo podrían alertar a los defensores de su presencia.
Se considera que ChamelGang, documentado por primera vez por Positive Technologies en 2021, es un grupo nexo con China que opera con motivaciones tan variadas como la recopilación de inteligencia, el robo de datos, las ganancias financieras, los ataques de denegación de servicio (DoS) y las operaciones de información, según a la empresa taiwanesa de ciberseguridad TeamT5.
Se sabe que posee una amplia gama de herramientas en su arsenal, incluidas BeaconLoader, Cobalt Strike, puertas traseras como AukDoor y DoorMe, y una cepa de ransomware conocida como CatB, que ha sido identificada como utilizada en ataques dirigidos a Brasil e India basándose en puntos en común en el nota de rescate, el formato de la dirección de correo electrónico de contacto, la dirección de la billetera de criptomonedas y la extensión del nombre de los archivos cifrados.
Los ataques observados en 2023 también aprovecharon una versión actualizada de BeaconLoader para entregar Cobalt Strike para actividades de reconocimiento y posteriores a la explotación, como colocar herramientas adicionales y filtrar el archivo de base de datos NTDS.dit .
Además, vale la pena señalar que el malware personalizado utilizado por ChamelGang, como DoorMe y MGDrive (cuya variante de macOS se llama Gimmick), también se ha vinculado a otros grupos de amenazas chinos como REF2924 y Storm Cloud , aludiendo una vez más a la posibilidad de un » Intendente digital que suministra malware a distintos grupos operativos».
El otro conjunto de intrusiones implica el uso de Jetico BestCrypt y Microsoft BitLocker en ciberataques que afectan a varios sectores verticales de la industria en Norteamérica, Sudamérica y Europa. Se estima que hasta 37 organizaciones, predominantemente del sector manufacturero estadounidense, han sido atacadas.
Las tácticas observadas, según las dos empresas de ciberseguridad, son consistentes con las atribuidas a un equipo de hackers chino denominado APT41 y a un actor norcoreano conocido como Andariel , debido a la presencia de herramientas como el shell web China Chopper y una puerta trasera conocida como DTrack.
«Las actividades que observamos se superponen con intrusiones pasadas que involucran artefactos asociados con supuestos grupos APT chinos y norcoreanos», dijo Milenkoski a The Hacker News, afirmando que las limitaciones de visibilidad probablemente han impedido detectar los artefactos maliciosos.
«Nuestras investigaciones y nuestra revisión de investigaciones anteriores no revelaron evidencia de herramientas u otros artefactos de intrusión asociados con presuntos grupos APT chinos o norcoreanos que estuvieran presentes simultáneamente en los mismos entornos objetivo».
SentinelOne dijo además que no puede excluir la posibilidad de que estas actividades sean parte de un esquema cibercriminal más amplio, particularmente dado que los actores de los estados-nación también han participado de vez en cuando en ataques con motivación financiera .
«Las operaciones de ciberespionaje disfrazadas de actividades de ransomware brindan una oportunidad para que los países adversarios afirmen una negación plausible al atribuir las acciones a actores cibercriminales independientes en lugar de entidades patrocinadas por el estado», dijeron los investigadores.
«El uso de ransomware por parte de grupos de amenazas de ciberespionaje desdibuja las líneas entre el cibercrimen y el ciberespionaje, proporcionando a los adversarios ventajas tanto desde perspectivas estratégicas como operativas».
Fuente y redacción: thehackernews.com