Hackers chinos y norcoreanos apuntan a la infraestructura global con ransomware

Actores de amenazas con presuntos vínculos con China y Corea del Norte han sido relacionados con ataques de ransomware y cifrado de datos dirigidos a sectores gubernamentales e infraestructuras críticas en todo el mundo entre 2021 y 2023.

Mientras que un grupo de actividades ha sido asociado con ChamelGang (también conocido como CamoFei), el segundo grupo se superpone con actividades previamente atribuidas a grupos patrocinados por los estados chino y norcoreano, según un informe conjunto de las firmas de ciberseguridad SentinelOne y Recorded Future, compartido con The Hacker News.

Esto incluye los ataques de ChamelGang dirigidos al Instituto de Ciencias Médicas de Toda la India (AIIMS) y a la Presidencia de Brasil en 2022 utilizando el ransomware CatB, así como la orientación a una entidad gubernamental en Asia Oriental y una organización de aviación en el subcontinente indio.

“Los actores de amenazas en el ecosistema de ciberespionaje están participando en una tendencia cada vez más preocupante de utilizar ransomware como etapa final en sus operaciones con fines de lucro financiero, disrupción, distracción, atribución errónea o eliminación de evidencia”, dijeron los investigadores de seguridad Aleksandar Milenkoski y Julian-Ferdinand Vögele.

Los ataques de ransomware en este contexto no solo sirven como una vía para el sabotaje, sino que también permiten a los actores de amenazas cubrir sus huellas destruyendo artefactos que de otro modo podrían alertar a los defensores de su presencia.

ChamelGang, documentado por primera vez por Positive Technologies en 2021, se evalúa como un grupo con nexos en China que opera con motivaciones tan variadas como la recopilación de inteligencia, el robo de datos, el lucro financiero, los ataques de denegación de servicio (DoS) y las operaciones de información, según la firma de ciberseguridad taiwanesa TeamT5.

Se sabe que posee una amplia gama de herramientas en su arsenal, incluyendo BeaconLoader, Cobalt Strike, puertas traseras como AukDoor y DoorMe, y una cepa de ransomware conocida como CatB, que se ha identificado en ataques dirigidos a Brasil e India basándose en similitudes en la nota de rescate, el formato de la dirección de correo electrónico de contacto, la dirección de la cartera de criptomonedas y la extensión de archivo de los archivos cifrados.

Los ataques observados en 2023 también han aprovechado una versión actualizada de BeaconLoader para entregar Cobalt Strike para actividades de reconocimiento y post-explotación, como la implementación de herramientas adicionales y la exfiltración del archivo de base de datos NTDS.dit.

Además, vale la pena señalar que el malware personalizado utilizado por ChamelGang, como DoorMe y MGDrive (cuya variante para macOS se llama Gimmick), también se ha vinculado a otros grupos de amenazas chinos como REF2924 y Storm Cloud, lo que sugiere nuevamente la posibilidad de un “cuartel digital suministrando malware a distintos grupos operativos.”

El otro conjunto de intrusiones involucra el uso de Jetico BestCrypt y Microsoft BitLocker en ciberataques que afectan a varios sectores industriales en América del Norte, América del Sur y Europa. Se estima que hasta 37 organizaciones, predominantemente del sector manufacturero de EE. UU., han sido atacadas.

Las tácticas observadas, según las dos empresas de ciberseguridad, son consistentes con las atribuidas a un grupo de hackers chinos llamado APT41 y a un actor norcoreano conocido como Andariel, debido a la presencia de herramientas como la web shell China Chopper y una puerta trasera conocida como DTrack.

“Las actividades que observamos se superponen con intrusiones pasadas que involucran artefactos asociados con grupos de amenazas persistentes avanzadas (APT) sospechosos de ser chinos y norcoreanos”, dijo Milenkoski a The Hacker News, señalando que las limitaciones de visibilidad probablemente han impedido detectar los artefactos maliciosos en sí.

“Nuestras investigaciones y nuestra revisión de investigaciones previas no revelaron evidencia de herramientas u otros artefactos de intrusión asociados con grupos APT sospechosos de ser chinos o norcoreanos presentes simultáneamente en los mismos entornos objetivo.”

SentinelOne agregó que no puede excluir la posibilidad de que estas actividades formen parte de un esquema cibercriminal más amplio, especialmente dado que los actores estatales también han participado en ataques motivados financieramente de vez en cuando.

“Las operaciones de ciberespionaje disfrazadas como actividades de ransomware proporcionan una oportunidad para que países adversarios aleguen negación plausible al atribuir las acciones a actores cibercriminales independientes en lugar de entidades patrocinadas por el estado”, dijeron los investigadores.

“El uso de ransomware por parte de grupos de amenazas de ciberespionaje difumina las líneas entre el cibercrimen y el ciberespionaje, proporcionando a los adversarios ventajas tanto desde perspectivas estratégicas como operativas.”