Nuevas cepas de ransomware vinculadas a actores maliciosos del gobierno de Corea del Norte

Varias cepas de ransomware se han relacionado con APT38, un grupo de ciberatacantes auspiciados por Corea del Norte y conocidos por su enfoque en el robo de fondos de instituciones financieras en todo el mundo. También son conocidos por implementar malware destructivo en las redes de sus víctimas durante la última etapa de sus ataques, […]

Varias cepas de ransomware se han relacionado con APT38, un grupo de ciberatacantes auspiciados por Corea del Norte y conocidos por su enfoque en el robo de fondos de instituciones financieras en todo el mundo.

También son conocidos por implementar malware destructivo en las redes de sus víctimas durante la última etapa de sus ataques, probablemente para destruir cualquier rastro de su actividad.

Christiaan Beek, investigador principal de amenazas en la firma de seguridad Trellix, afirmó a los medios que los operadores del grupo también han utilizado las familias de ransomware Beaf, PXJ, ZZZZ y ChiChi para extorsionar a algunos de sus víctimas

Los enlaces a APT38 se encontraron mientras se analizaba la similitud del código y los equipos con el ransomware VHD que, al igual que el ransomware TFlower, estaba vinculado al grupo norcoreano Lazarus.

Los investigadores de Kaspersky y Sygnia hicieron la conexión después de ver que las dos cepas se implementaban en las redes de las víctimas a través del marco de malware multiplataforma MATA, una herramienta maliciosa utilizada exclusivamente por los operadores de Lazarus, según Kaspersky.

Beek reveló el miércoles que, basándose en la visualización del código usando el mapeo de curvas de Hilbert, PXJ, Beaf y ZZZZ comparten una cantidad notable de código fuente y funcionalidad con VHD y TFlower ransomware, siendo Beaf y ZZZZ clones casi exactos entre sí.

«No es necesario ser un especialista en malware para reconocer de inmediato que las imágenes de ZZZ y BEAF Ransomware son casi idénticas», dijo el investigador de Trellix.

«También se hace evidente que tanto Tflower como ChiChi son muy diferentes en comparación con VHD».

Si bien el código base de ChiChi tiene pocos o ningún punto en común, Beek pudo descubrir que tanto ChiChi como ZZZZ utilizaron la dirección de correo electrónico Semenov[.]akkim@protonmail[.]com en sus notas de rescate.

Los ataques que utilizan estas familias de ransomware solo se han dirigido a entidades en Asia-Pacífico (APAC), lo que dificulta encontrar las identidades de las víctimas, ya que no hubo chats de negociación ni sitios de fugas para investigar.

Trellix también intentó descubrir enlaces adicionales mediante el análisis de las transferencias de criptomonedas detrás de los pagos de rescate, pero no encontró superposición en las billeteras criptográficas utilizadas para cobrar los rescates.

Sin embargo, descubrieron que los piratas informáticos de Corea del Norte solo podían recopilar pequeñas cantidades de criptoactivos (por ejemplo, una transferencia de 2,2 BTC a mediados de 2020, con un valor de $20.000us en ese momento).

«Sospechamos que las familias de ransomware [..] son ​​parte de ataques más organizados», agregó Beek.