El Departamento de Justicia de Estados Unidos (DoJ) hizo pública el jueves una acusación contra un agente de inteligencia militar de Corea del Norte por supuestamente llevar a cabo ataques de ransomware contra instalaciones sanitarias del país y canalizar los pagos para orquestar intrusiones adicionales en entidades de defensa, tecnología y gobierno en todo el mundo. «Rim Jong Hyok y sus cómplices desplegaron ransomware para extorsionar a hospitales y empresas de atención médica de Estados Unidos, y luego lavaron las ganancias para ayudar a financiar las actividades ilícitas de Corea del Norte», dijo Paul Abbate, subdirector de la Oficina Federal de Investigaciones (FBI). «Estas acciones inaceptables e ilegales pusieron en riesgo vidas inocentes». Al mismo tiempo que se hizo la acusación, el Departamento de Estado de Estados Unidos anunció una recompensa de hasta 10 millones de dólares por información que pudiera conducir a su paradero o a la identificación de otras personas en relación con la actividad maliciosa. Se dice que Hyok, parte de un equipo de piratas informáticos llamado Andariel (también conocido como APT45, Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly y TDrop2), está detrás de los ciberataques relacionados con la extorsión que involucran una cepa de ransomware llamada Maui, que se reveló por primera vez en 2022 como dirigida a organizaciones en Japón y los EE. UU. Los pagos de rescate se blanquearon a través de facilitadores con sede en Hong Kong, que convirtieron las ganancias ilícitas en yuanes chinos, después de lo cual se retiraron de un cajero automático y se usaron para adquirir servidores privados virtuales (VPS) que, a su vez, se emplearon para exfiltrar información sensible de defensa y tecnología. Los objetivos de la campaña incluyen dos bases de la Fuerza Aérea de EE. UU., NASA-OIG, así como contratistas de defensa de Corea del Sur y Taiwán y una empresa de energía china. En un caso destacado por el Departamento de Estado, un ciberataque que comenzó en noviembre de 2022 llevó a los actores de la amenaza a exfiltrar más de 30 gigabytes de datos de un contratista de defensa anónimo con sede en Estados Unidos. Esto incluía información técnica no clasificada sobre material utilizado en aviones militares y satélites. Las agencias también han anunciado la «interdicción de aproximadamente 114.000 dólares en ganancias en moneda virtual de ataques de ransomware y transacciones de lavado de dinero relacionadas, así como la incautación de cuentas en línea utilizadas por co-conspiradores para llevar a cabo su actividad cibernética maliciosa». Andariel, afiliada a la Tercera Oficina de la Oficina General de Reconocimiento (RGB), tiene un historial de ataques a empresas extranjeras, gobiernos, industrias aeroespaciales, nucleares y de defensa con el objetivo de obtener información técnica sensible y clasificada y propiedad intelectual para promover las aspiraciones militares y nucleares del régimen. Otros objetivos recientes de interés incluyen instituciones educativas, empresas de construcción y organizaciones manufactureras de Corea del Sur. «Este grupo representa una amenaza permanente para varios sectores industriales en todo el mundo, incluidas, entre otras, entidades en Estados Unidos, Corea del Sur, Japón e India», dijo la Agencia de Seguridad Nacional (NSA). «El grupo financia su actividad de espionaje a través de operaciones de ransomware contra entidades de atención médica de Estados Unidos». El acceso inicial a las redes objetivo se logra mediante la explotación de fallas de seguridad conocidas de N-day en aplicaciones orientadas a Internet, lo que permite al grupo de piratas informáticos realizar pasos de reconocimiento de seguimiento, enumeración de sistemas de archivos, persistencia, escalada de privilegios, movimiento lateral y exfiltración de datos utilizando una combinación de puertas traseras personalizadas, troyanos de acceso remoto, herramientas listas para usar y utilidades de código abierto a su disposición. Otros vectores de distribución de malware documentados implican el uso de correos electrónicos de phishing que contienen archivos adjuntos maliciosos, como archivos Microsoft Windows Shortcut (LNK) o archivos de script de HTML Application (HTA) dentro de archivos ZIP. «Los actores están muy versados ​​en el uso de herramientas y procesos nativos en los sistemas, conocidos como living-off-the-land (LotL)», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). «Usan la línea de comandos de Windows, PowerShell, la línea de comandos de Instrumental de administración de Windows (WMIC) y Linux bash, para la enumeración de sistemas, redes y cuentas». Microsoft, en su propio aviso sobre Andariel, lo describió como una empresa que evoluciona constantemente su conjunto de herramientas para agregar nuevas funciones e implementar formas novedosas de eludir la detección, al tiempo que exhibe un «patrón de ataque bastante uniforme». «La capacidad de Onyx Sleet para desarrollar un espectro de herramientas para lanzar su cadena de ataques probada y verdadera lo convierte en una amenaza persistente, particularmente para los objetivos de interés para la inteligencia norcoreana, como organizaciones en los sectores de defensa, ingeniería y energía», señaló el fabricante de Windows. Algunas de las herramientas destacadas por Microsoft se enumeran a continuación: TigerRAT: un malware que puede robar información confidencial y ejecutar comandos, como keylogging y grabación de pantalla, desde un servidor de comando y control (C2) SmallTiger: una puerta trasera C++ LightHand: una puerta trasera ligera para acceso remoto a dispositivos infectados ValidAlpha (también conocida como Black RAT): una puerta trasera basada en Go que puede ejecutar un archivo arbitrario, enumerar el contenido de un directorio, descargar un archivo, tomar capturas de pantalla y lanzar un shell para ejecutar comandos arbitrarios Dora RAT: una «cepa de malware simple» con soporte para shell inverso y capacidades de descarga/carga de archivos «Han evolucionado desde apuntar a instituciones financieras de Corea del Sur con ataques disruptivos hasta apuntar a la atención médica de EE. UU. con ransomware, conocido como Maui, aunque no a la misma escala que otros grupos de ciberdelincuencia de habla rusa», dijo Alex Rose, director de investigación de amenazas y asociaciones gubernamentales en Secureworks Counter Threat Unit. «Esto se suma a su misión principal de recopilar inteligencia sobre operaciones militares extranjeras y adquisición de tecnología estratégica». Andariel es sólo uno de los innumerables grupos de piratas informáticos patrocinados por el Estado que operan bajo la dirección del gobierno y el ejército de Corea del Norte, junto con otros grupos rastreados como el Grupo Lazarus, BlueNoroff, Kimsuky y ScarCruft. «Durante décadas, Corea del Norte ha estado involucrada en la generación de ingresos ilícitos a través de empresas criminales, para compensar la falta de industria nacional y su aislamiento diplomático y económico global», agregó Rose. «El ciberespacio se adoptó rápidamente como una capacidad estratégica que podría usarse tanto para la recopilación de inteligencia como para ganar dinero. Si bien históricamente estos objetivos habrían estado cubiertos por diferentes grupos, en los últimos años se han difuminado las líneas y muchos de los grupos de amenazas cibernéticas que operan en nombre de Corea del Norte también han incursionado en actividades para ganar dinero». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.