Nuevo informe de ciberseguridad: Lazarus Group ataca a la industria blockchain y criptomonedas

Índice de Contenido
  1. Quién es el Grupo Lazarus?
  2. Compromiso inicial
  3. Cargas útiles
  4. Recomendaciones

Quién es el Grupo Lazarus?

El Grupo Lazarus, también conocido como APT38, BlueNoroff y Stardust Chollima, es un actor de amenazas patrocinadas por el estado de Corea del Norte. El grupo ha estado activo desde 2009. Si bien inicialmente se enfocaba en objetivos de Corea del Sur, interrumpiendo y dañando computadoras de varias organizaciones, el grupo comenzó a centrarse en delitos financieros internacionales.

Ya se ha publicado un aviso anterior sobre el objetivo del Grupo Lazarus contra intercambios de criptomonedas y empresas de servicios financieros. El FBI también ha anunciado que Lazarus fue responsable del robo de $620 millones de Ethereum en marzo de 2022 (Figura A).

Figura A

Compromiso inicial

Los ataques comienzan con mensajes de spear phishing enviados a través de diversas plataformas de comunicación por el grupo. Estos mensajes se envían a varios empleados de empresas de criptomonedas, a menudo administradores de sistemas, desarrolladores de software y personal de TI.

Los mensajes prometen oportunidades de trabajo lucrativas para persuadir al empleado objetivo a descargar aplicaciones de criptomonedas con malware, a las cuales el gobierno de EE. UU. se refiere como TraderTraitor. Una vez descargado y ejecutado, el código malicioso instala una carga útil adicional.

"Esta campaña combina múltiples tendencias populares en un ataque", dijo Tim Erlin, vicepresidente de estrategia de Tripwire. "Ya hemos visto ataques enfocados en criptomonedas y el software malicioso no es algo nuevo. Es importante que los lectores comprendan que esta alerta no se trata de una nueva tecnología, sino de un aumento en la actividad de los ataques. Es fácil pensar que no caeremos en un correo electrónico de phishing, pero los datos muestran que los correos electrónicos maliciosos siguen siendo exitosos para los atacantes. Es mejor ser excesivamente cautelosos que comprometidos".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Cargas útiles

El software TraderTraitor está escrito en JavaScript con el entorno de tiempo de ejecución Node.js utilizando el marco Electron. Las aplicaciones maliciosas se derivan de una variedad de proyectos de código abierto y pretenden ser herramientas de negociación o predicción de precios de criptomonedas. El grupo a menudo construye sitios web con apariencia profesional para promocionar sus aplicaciones fraudulentas (Figura B).

Figura B

Las agencias también informan que "las cargas útiles observadas incluyen variantes actualizadas de macOS y Windows de Manuscrypt, un troyano de acceso remoto personalizado que recopila información del sistema y tiene la capacidad de ejecutar comandos arbitrarios y descargar cargas útiles adicionales".

Una vez que las cargas útiles están en funcionamiento, los atacantes tardan menos de una semana en completar sus actividades posteriores al compromiso, que se adaptan específicamente al entorno de las víctimas.

Recomendaciones

Las agencias gubernamentales recomiendan varias medidas para mitigar esta amenaza:

  • Utilizar segmentación de red para separar las redes en zonas basadas en roles y requisitos.
  • Realizar una gestión eficiente de parches para evitar ser comprometidos por vulnerabilidades comunes. Priorizar la aplicación de parches en dispositivos expuestos en Internet.
  • Requerir autenticación de múltiples factores y asegurarse de que los usuarios cambien sus contraseñas regularmente.
  • Implementar mitigaciones de email y dominio para detectar dominios recién registrados utilizados con frecuencia por actores amenazantes. El protocolo HTML debe estar desactivado en los correos electrónicos y los adjuntos de correo electrónico deben escanearse en busca de malware.
  • Aplicar una lista blanca de aplicaciones para evitar la ejecución de software no autorizado.
  • Tener un plan de respuesta a incidentes para enfrentar las amenazas cibernéticas.

Los usuarios también deben ser cautelosos cuando se les solicite su frase de recuperación. En ningún caso una empresa solicitará esa información, ya que proporciona acceso completo a las billeteras de criptomonedas. Si surgen dudas, el usuario debe comunicarse con el departamento de TI o ciberseguridad para obtener confirmación.

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo informe de ciberseguridad: Lazarus Group ataca a la industria blockchain y criptomonedas , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.