Home Ciberguerra Ciberdelincuentes chinos y norcoreanos atacan la infraestructura global con ransomware

Ciberdelincuentes chinos y norcoreanos atacan la infraestructura global con ransomware

Actores de amenazas, con presuntos vínculos con China y Corea del Norte, han sido vinculados a ataques de ransomware y cifrado de datos dirigidos a sectores gubernamentales y de infraestructura crítica en todo el mundo entre 2021 y 2023.

Si bien un grupo de actividad se ha asociado con ChamelGang (también conocido como CamoFei), el segundo grupo se superpone con actividad previamente atribuida a grupos patrocinados por los estados de China y Corea del Norte, dijeron las firmas de ciberseguridad SentinelOne y Recorded Future.

Esto incluye los ataques de ChamelGang dirigidos al All India Institute of Medical Sciences (AIIMS) y a la Presidencia de Brasil en 2022 utilizando el ransomware CatB, así como a una entidad gubernamental en el este de Asia y una organización de aviación en el subcontinente indio.

Los ataques de ransomware en este contexto no solo sirven como salida para el sabotaje, sino que también permiten que los actores de amenazas oculten sus huellas destruyendo artefactos que de otro modo podrían alertar a los defensores de su presencia.

Se considera que ChamelGang, documentado por primera vez por Positive Technologies en 2021, es un grupo nexo con China que opera con motivaciones tan variadas como la recopilación de inteligencia, el robo de datos, las ganancias financieras, los ataques de denegación de servicio (DoS) y las operaciones de información, según a la empresa taiwanesa de ciberseguridad TeamT5.

Se sabe que posee una amplia gama de herramientas en su arsenal, incluidas BeaconLoader, Cobalt Strike, puertas traseras como AukDoor y DoorMe, y una cepa de ransomware conocida como CatB, que ha sido identificada como utilizada en ataques dirigidos a Brasil e India basándose en puntos en común en el nota de rescate, el formato de la dirección de correo electrónico de contacto, la dirección de la billetera de criptomonedas y la extensión del nombre de los archivos cifrados.

Los ataques observados en 2023 también aprovecharon una versión actualizada de BeaconLoader para entregar Cobalt Strike para actividades de reconocimiento y posteriores a la explotación, como colocar herramientas adicionales y filtrar el archivo de base de datos NTDS.dit.

Además, vale la pena señalar que el malware personalizado utilizado por ChamelGang, como DoorMe y MGDrive (cuya variante de macOS se llama Gimmick), también se ha vinculado a otros grupos de amenazas chinos como REF2924 y Storm Cloud, aludiendo una vez más a la posibilidad de un “Intendente digital que suministra malware a distintos grupos operativos”.

El otro conjunto de intrusiones implica el uso de Jetico BestCrypt y Microsoft BitLocker en ataques cibernéticos que afectan a varios sectores verticales de la industria en América del Norte, América del Sur y Europa. Se estima que hasta 37 organizaciones, predominantemente del sector manufacturero estadounidense, han sido atacadas.

Las tácticas observadas, según las dos empresas de ciberseguridad, son consistentes con las atribuidas a un equipo de hackers chino llamado APT41 y a un actor norcoreano conocido como Andariel, debido a la presencia de herramientas como el shell web China Chopper y una puerta trasera conocida como DTrack.