Os hackers da Coreia do Norte apoiados pelo Estado estão a realizar ataques de resgate contra instalações de cuidados de saúde e infra-estruturas críticas para financiar actividades ilícitas, as agências de cibersegurança e inteligência dos EUA e da Coreia do Sul advertiram numa assessoria conjunta.
Os ataques, que exigem resgates em moeda criptográfica em troca da recuperação do acesso a ficheiros encriptados, são concebidos para apoiar as prioridades e objectivos da Coreia do Norte a nível nacional.
Isto inclui “operações cibernéticas dirigidas aos governos dos Estados Unidos e da Coreia do Sul – alvos específicos incluem as redes de informação do Departamento de Defesa e as redes de membros da Base Industrial de Defesa,” as autoridades disse.
Os actores da ameaça com a Coreia do Norte têm sido ligado à espionagem, roubo financeiro e operações de criptojacking durante anos, incluindo os infames ataques de resgate WannaCry de 2017 que infectaram centenas de milhares de máquinas localizadas em mais de 150 países.
Desde então, as tripulações dos estados-nação norte-coreanos têm-se dedicado a múltiplas estirpes de resgates, tais como VHD, Maui, e H0lyGh0st para gerar um fluxo constante de receitas ilegais para o regime de sanções – o regime de sanções.
Para além de adquirir a sua infra-estrutura através de moeda criptográfica gerada através das suas actividades criminosas, o adversário é conhecido por funcionar sob identidades de filiais estrangeiras de terceiros para ocultar o seu envolvimento.
As correntes de ataque montadas pela tripulação de hacking implicam a exploração de falhas de segurança conhecidas nos aparelhos Apache Log4j, SonicWall, e TerraMaster NAS (por exemplo, CVE 2021-44228, CVE-2021-20038e CVE-2022-24990) para obter acesso inicial, acompanhando-o através de reconhecimento, movimento lateral, e implementação de resgates.
Para além da utilização de resgates desenvolvidos a nível privado, os actores têm sido observados a utilizar ferramentas fora da prateleira como BitLocker, DeadBolt, ech0raix, Jigsaw, e YourRansom para encriptar ficheiros, para não mencionar até a imitação de outros grupos de resgates, tais como REvil.
Como mitigações, as agências recomendam às organizações que implementem o princípio de privilégios mínimos, desactivem interfaces desnecessárias de gestão de dispositivos de rede, imponham a segmentação de rede em várias camadas, exijam controlos de autenticação resistentes ao phishing, e mantenham cópias de segurança de dados periódicas.
O alerta surge quando um novo relatório das Nações Unidas constata que os hackers norte-coreanos roubaram bens virtuais que quebraram recordes estimados entre 630 milhões e mais de mil milhões de dólares em 2022.
O relatório, visto pela Associated Press, disse que os actores da ameaça utilizavam técnicas cada vez mais sofisticadas para obter acesso a redes digitais envolvidas no ciber-financiamento, e para roubar informação a governos, empresas e indivíduos que poderiam ser úteis nos programas nucleares e de mísseis balísticos da Coreia do Norte.
Chamou ainda Kimsuky, Grupo Lazarus, e Andariel, que fazem todos parte do Gabinete Geral de Reconhecimento (RGB), para continuar a visar as vítimas com o objectivo de criar receitas e solicitação de informação de valor para o reino eremita.