Ciberdelincuentes Norcoreanos y Ransomware Play: Una nueva alianza en el mundo de la Ciberseguridad

Hackeo a Mabe: RansomHub amenaza con filtrar 1.5 TB de datos sensibles en 7 Días
4 de noviembre de 2024
oma
Hackeo a OMA: Filtración masiva pone en riesgo a aeropuertos y pasajeros en México
11 de noviembre de 2024
Ver todo
ransomware

Un reciente ataque cibernético ha revelado una colaboración inquietante entre el grupo de ciberdelincuentes norcoreanos Jumpy Pisces (también conocido como Andariel o APT45) y la red de ransomware Play. Esta alianza se activó entre mayo y septiembre de 2024, y representa un cambio significativo en las estrategias de los actores cibernéticos patrocinados por el estado, que ahora colaboran con redes criminales para lograr fines financieros. Según Palo Alto Networks, esta es la primera vez que se observa una colaboración de este tipo, marcando una nueva amenaza en el panorama global de la ciberseguridad.

¿Quiénes son Andariel y Ransomware Play?

Andariel, una unidad de ciberataque vinculada a la Oficina General de Reconocimiento (RGB) de Corea del Norte, lleva operando desde 2009 y es conocida por realizar ataques cibernéticos avanzados. En este caso, Andariel usó el ransomware Play para infiltrarse en sistemas específicos, utilizando el marco de comando y control (C2) Silver y un backdoor llamado Dtrack. Una vez dentro, el grupo ejecutó técnicas avanzadas de infiltración, recopilando credenciales y desactivando herramientas de seguridad, para luego lanzar el ransomware. Este enfoque revela un nivel de sofisticación técnica que evidencia la evolución de los ataques de ransomware por parte de actores estatales.

El ransomware Play, que ha afectado a más de 300 organizaciones a nivel global, es también conocido por nombres como Balloonfly, Fiddling Scorpius y PlayCrypt. Esta operación se destaca por su capacidad de causar grandes pérdidas financieras y es conocida por su versatilidad en atacar tanto infraestructuras críticas como empresas.

Tácticas de Infiltración: Espionaje y Robo de Datos

Como parte de su ataque, Andariel utilizó un binario troyanizado diseñado para extraer el historial de navegación, datos de autocompletado e información de tarjetas de crédito en navegadores como Google Chrome, Microsoft Edge y Brave. La conexión entre Andariel y Play fue evidente cuando se detectó actividad continua en el servidor C2 de Silver, que se mantuvo activo hasta el día anterior al despliegue del ransomware.

Tendencias globales en Ciberseguridad: El Aumento de la colaboración entre estados y Ciberdelincuentes

Microsoft recientemente advirtió sobre una mayor coordinación entre estados-nación y actores criminales, señalando que Rusia, Corea del Norte e Irán están empleando ransomware como una estrategia para monetizar sus operaciones cibernéticas. En algunos casos, el ransomware se usa como cobertura para el espionaje chino, mientras que actores iraníes aprovechan sus accesos oficiales para lanzar ataques con fines financieros.

El FBI, en un comunicado de agosto, también señaló colaboraciones entre actores iraníes y redes de ransomware como NoEscape, Ransomhouse y AlphV, quienes reciben un porcentaje de los pagos de rescate como parte de estos ataques.

Actividades de Corea del Norte en el uso de Ransomware

Los actores norcoreanos han estado en el foco de atención por utilizar ransomware en ataques estratégicos. En julio, Estados Unidos acusó al ciudadano norcoreano Rim Jong Hyok de participar en ataques de ransomware contra hospitales y empresas de atención médica en Estados Unidos, empleando el ransomware Maui. Rim, afiliado a la Oficina General de Reconocimiento, presuntamente lanzó estos ataques en 2021 y 2022, afectando instituciones como hospitales en Kansas y contratistas de defensa estadounidenses.

La colaboración entre Andariel y el ransomware Play es una advertencia sobre la creciente amenaza que representan los actores estatales cuando se asocian con redes de ciberdelincuentes. Este tipo de alianzas intensifica la sofisticación y el alcance de los ataques de ransomware, añadiendo una capa compleja al panorama de amenazas globales. Las organizaciones deben mantenerse vigilantes y reforzar sus defensas para proteger sus activos frente a estos ataques avanzados.

Referencias:

1. North Korean Group Collaborates with Play Ransomware in Significant Cyber Attack

2. North Korean hackers seen collaborating with Play ransomware group, researchers say

3. Play ransomware attack tied to North Korean nation-state actor

Artículos relacionados

microsoft teams
18 de diciembre de 2024

Microsoft Teams usado para distribuir el malware DarkGate mediante ingeniería social

Leer más
MirrorFace
9 de diciembre de 2024

MirrorFace reaparece: Nueva campaña contra Japón con los backdoors ANEL y NOOPDOOR

Leer más
matrix
9 de diciembre de 2024

MATRIX: Un servicio de mensajería para criminales desmantelado por Europol

Leer más
nis2
4 de diciembre de 2024

NIS2: La Alta Dirección de las empresas será responsable de las brechas de Seguridad

Leer más
Rockstar 2FA
2 de diciembre de 2024

Rockstar 2FA: La Nueva amenaza de Phishing que pone en riesgo al Gobierno de México

Leer más
Ciudadano estadounidense condenado por filtrar secretos a la inteligencia china: un caso de espionaje de película
2 de diciembre de 2024

Espionaje Internacional: Ciudadano Estadounidense condenado por colaborar con la Inteligencia China

Leer más