Los actores de amenazas de Corea del Norte están atacando a las pequeñas y medianas empresas con ransomware, según los investigadores de Microsoft Security. El grupo de actores, que se conoce con el nombre de H0lyGh0st, ha estado desarrollando y llevando a cabo ataques de malware entre países durante más de un año, realizando ataques exitosos ya en septiembre de 2021.
Además de utilizar una carga útil de ransomware, el grupo -rastreado por Microsoft como DEV-0530- mantiene un sitio .onion para comunicarse con sus víctimas. Utilizando el método de la doble extorsión, su estrategia consiste en cifrar “todos los archivos del dispositivo objetivo” y utilizar la extensión de archivo .h0lyenc. A continuación, “envían a la víctima una muestra de los archivos” como prueba antes de exigir un pago en Bitcoin a cambio de “restaurar el acceso a los archivos.” El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) ha observado que es probable que haya un solapamiento entre H0lyGh0st y PLUTONIUM (también conocido como DarkSeoul o Andariel), otro grupo basado en Corea del Norte.
MSTIC ha propuesto dos posibles razones para estos ataques de ransomware. La primera posibilidad es que sean financiados directamente por el Estado norcoreano por razones económicas para compensar el golpe financiero que el país ha recibido por las sanciones internacionales, los desastres naturales, la sequía y los bloqueos de COVID-19. La segunda motivación, igualmente plausible, es que personas no afiliadas al Estado y vinculadas a la infraestructura y las herramientas de PLUTONIUM estén simplemente “pluriempleadas para obtener un beneficio personal”.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian