Ransomware patrocinado por Corea del Norte: un informe revela ataques con vínculos al país asiático

Los ataques de ransomware suelen ser perpetrados por grupos criminales privados con el objetivo de obtener dinero a través de la victimización de organizaciones vulnerables. Pero, ¿qué sucede cuando un estado-nación hostil respalda esa misma táctica? Un nuevo informe del Centro de Inteligencia de Amenazas de Microsoft examina una serie de ataques de ransomware con vínculos en Corea del Norte.

Desde junio de 2021, un grupo de ciberdelincuentes apodado DEV-0530 por Microsoft, pero que se autodenomina H0lyGh0st, ha llevado a cabo ataques de ransomware principalmente contra pequeñas y medianas empresas de diferentes países. La pandilla cifra archivos sensibles en un sistema comprometido, envía a la víctima un archivo de muestra como prueba del ataque y luego exige el pago en forma de Bitcoin para descifrar los datos. Si se paga el rescate, se supone que los archivos son restaurados. En caso contrario, el grupo amenaza con enviar los datos a los clientes de la víctima o publicarlos en las redes sociales.

VER: Vulneración de contraseñas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Más allá de buscar obtener ganancias, H0lyGh0st intenta justificar sus crímenes afirmando que también los comete por razones altruistas. En su sitio web .onion, el grupo asegura que está luchando por cerrar la brecha entre ricos y pobres, ayudar a los hambrientos y aumentar la conciencia sobre la seguridad de sus víctimas. La pandilla incluso cuenta con su propio formulario de contacto a través del cual responderá a las víctimas, explicando sus vulnerabilidades y diciéndoles cómo descifrar los archivos comprometidos una vez que se pague el rescate.

Índice de Contenido
  1. La conexión norcoreana
  2. Cómo proteger tu empresa de los ataques de ransomware

La conexión norcoreana

La conexión con Corea del Norte se produce de varias formas. Al analizar los tiempos y patrones de las operaciones de H0lyGh0st, Microsoft afirmó que encontró actividad procedente de las zonas horarias UTC+8 y UTC+9. UTC+9 es la zona horaria utilizada en Corea del Norte.

Además, Microsoft mencionó haber observado ciertas conexiones entre H0lyGh0st y un grupo llamado Plutonium. Una banda cibercriminal norcoreana, Plutonium ha atacado a las industrias energéticas y de defensa en India, Corea del Sur y Estados Unidos. Los dos grupos han utilizado la misma infraestructura y controladores de malware personalizados con nombres similares. Además, Microsoft ha descubierto cuentas de correo electrónico de H0lyGh0st que se comunican con las cuentas de atacantes conocidos de Plutonium.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Los estados-nación, incluso los hostiles, suelen realizar ciberataques con fines de espionaje político y militar. ¿Por qué un país recurriría al ransomware? Microsoft citó una posible motivación.

Si suponemos que el gobierno de Corea del Norte está patrocinando directamente los ataques de H0lyGh0st, podría estar haciéndolo para generar ingresos y ayudar a sostener su propia economía. Golpeada por sanciones, desastres naturales, cierres por COVID-19 y otras calamidades, Corea del Norte ha visto debilitarse su economía. Para intentar recuperarse de su propio declive financiero, el país podría haber estado patrocinando ataques de ransomware durante los últimos años.

"Los estados-nación más pobres o con fuertes embargos pueden encontrar que los ataques de ransomware son un medio atractivo para obtener capital que no está disponible para ellos a través de los medios normales", dijo Chris Clements, VP de arquitectura de soluciones de Cerberus Sentinel. "Las criptomonedas han permitido transferencias monetarias a gran escala que son posibles fuera de los sistemas financieros tradicionales que tienen regulaciones y controles para prevenir ciertas acciones. Un grupo de cibercriminales con recursos limitados puede obtener grandes ganancias al apuntar a los objetivos más débiles, como las pequeñas empresas".

Sin embargo, Microsoft también admite que el gobierno norcoreano puede no estar detrás de estos incidentes de ransomware, en parte porque los ataques patrocinados por el Estado suelen dirigirse a una gama mucho más amplia de víctimas, más allá de las que son objetivo de H0lyGh0st. Los miembros de H0lyGh0st y Plutonium podrían simplemente estar trabajando de forma individual para atacar a organizaciones en busca de su propio beneficio personal.

Cómo proteger tu empresa de los ataques de ransomware

Independientemente de quién sea responsable de estos ataques de ransomware, todas las organizaciones deben tomar medidas para protegerse. Con ese objetivo, Microsoft ofrece varias recomendaciones.

  • Establecer y probar regularmente un proceso para hacer copias de seguridad y restaurar tus datos críticos.
  • Usar los Indicadores de Compromiso detallados en el informe de Microsoft para determinar si alguno de los indicadores existe en tu entorno.
  • Implementar la autenticación multifactor en todas las cuentas, dispositivos y ubicaciones en todo momento.
  • Configurar métodos de autenticación sin contraseña, como Windows Hello, claves FIDO o Microsoft Authenticator, para todas las cuentas compatibles. Para gestionar las cuentas que aún requieren contraseñas, utilizar aplicaciones de autenticación, como Microsoft Authenticator, para MFA.
  • Deshabilitar toda la autenticación heredada.
  • Para los clientes empresariales de Microsoft, implementar el Azure Security Benchmark y seguir las mejores prácticas para asegurar la infraestructura de identidad. Asegurarse de que todas las cuentas de administración de la nube y de administración de inquilinos estén protegidas con el mismo nivel de seguridad e higiene de credenciales que se utiliza para los administradores de dominio.
  • Para las pequeñas y medianas empresas que utilizan Microsoft Defender for Business o Microsoft 365 Business Premium, activar la protección entregada desde la nube en Microsoft Defender Antivirus para bloquear variantes de malware nuevas y desconocidas y habilitar la protección de manipulaciones para evitar que los atacantes detengan tus servicios de seguridad.
  • Utilizar la protección de red para bloquear aplicaciones y usuarios que intenten acceder a dominios maliciosos y habilitar la investigación y remediation en modo automatizado para que Microsoft Defender for Endpoint pueda actuar ante las alertas y mitigar las brechas.
  • Utilizar el descubrimiento de dispositivos para localizar dispositivos no gestionados que puedan agregarse a Microsoft Defender for Endpoint y proteger las identidades y credenciales de los usuarios utilizando Microsoft Defender for Identity.

"Las mejores defensas que la mayoría de las organizaciones pueden implementar para prevenir el ransomware, y realmente todos los hackers y malware, es mitigar la ingeniería social, parchear su software, utilizar MFA resistente al phishing y utilizar contraseñas diferentes y sólidas en cada sitio y servicio", dijo Roger Grimes, evangelista de defensa basada en datos para KnowBe4. "Esas cuatro defensas, si se aplican de manera efectiva al 100%, eliminarían el 99% del riesgo de todos los ataques de hacking y malware".

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ransomware patrocinado por Corea del Norte: un informe revela ataques con vínculos al país asiático , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.