Los grupos APT chinos con probable respaldo estatal están utilizando ransomware en ataques para despistar a los investigadores de ciberseguridad y ocultar su verdadera intención de ciberespionaje, advirtió un nuevo informe. SentinelLabs y Recorded Future han analizado varias intrusiones en los últimos tres años y las han vinculado a dos grupos generales. El primero, denominado ChamelGang (también conocido como CamoFei), es un presunto grupo APT chino que se centró en organizaciones gubernamentales y de infraestructura crítica en el este de Asia e India, así como en la Presidencia de Brasil, implementando la variante de ransomware CatB. Este último ataque se atribuyó originalmente, e incorrectamente, a TeslaCrypt, pero en realidad fue un esfuerzo de espionaje más sofisticado, según el informe. El segundo grupo ha utilizado artefactos asociados con presuntos grupos APT chinos y norcoreanos. Los actores de amenazas utilizaron herramientas disponibles en el mercado BestCrypt y BitLocker para cifrar organizaciones víctimas en múltiples industrias en América del Norte, América del Sur y Europa, pero principalmente en el sector manufacturero de EE. UU. Lea más sobre las líneas borrosas entre los ataques estatales y los delitos cibernéticos: A medida que las amenazas del Estado-nación y los delitos cibernéticos se combinan, ¿deberían preocuparse los CISO? El uso de ransomware de esta manera permite a las naciones hostiles mantener una negación plausible de los ataques, al tiempo que disminuye la conciencia situacional de los países víctimas, si las agencias policiales y de inteligencia no trabajan lo suficientemente juntas, advirtió el informe. También ofrece a los propios actores de amenazas una posible recompensa financiera por sus esfuerzos. “Esta investigación destaca el uso estratégico del ransomware por parte de actores de ciberespionaje para obtener ganancias financieras, perturbaciones o como táctica de distracción o atribución errónea. El uso de ransomware como parte de actividades de ciberespionaje puede dar lugar a su atribución errónea como operaciones con motivación financiera”, afirmó el estudio. “Para desviar aún más los esfuerzos de atribución, los grupos APT pueden comprar ransomware compartido por múltiples actores ciberdelincuentes. El ransomware también cubre el verdadero motivo detrás del componente central de las operaciones de ciberespionaje, la exfiltración de datos, que también es llevada a cabo por actores de ransomware que siguen un modelo de extorsión múltiple”. Los autores del informe instaron a las agencias policiales y de inteligencia a participar en un “intercambio de información y colaboración sostenidos” en cualquier ataque de ‘ransomware’ dirigido al gobierno y a sectores de infraestructura críticos. «El intercambio eficiente de datos y conocimientos entre las diferentes entidades que manejan incidentes de ciberdelincuencia y ciberespionaje, el examen detallado de los artefactos observados y el análisis del contexto más amplio que rodea los incidentes de este tipo son cruciales para identificar a los verdaderos perpetradores, motivos y objetivos». concluyeron.