Lazarus de Corea del Norte trae un enfoque de piratería patrocinado por el estado al ransomware

Lazarus de Corea del Norte trae un enfoque de piratería patrocinado por el estado al ransomware

Aurich Lawson / Getty

Lazarus, el grupo de piratería estatal de Corea del Norte detrás del gusano WannaCry, el robo de $ 81 millones de un banco de Bangladesh y los ataques a Sony Pictures, está tratando de expandirse hacia la locura del ransomware, según los investigadores. de Kaspersky Lab.

Como muchas de las primeras entradas de Lazarus, el ransomware VHD es burdo. El malware tardó 10 horas en infectar completamente la red de un objetivo. También utiliza algunas prácticas criptográficas poco ortodoxas que no son «semánticamente seguras», porque los estándares de los archivos originales permanecen después de ser cifrados. El malware también parece haber afectado a la víctima a través de una infección casual de su red privada virtual.

En resumen, VHD no es Ryuk ni WastedLocker. Ambos son conocidos como “cazadores de caza mayor” porque apuntan a redes pertenecientes a organizaciones con bolsillos profundos y, después de ingresar, atacan solo después de completar días o semanas de meticulosa vigilancia.

«Es obvio que el grupo no puede igualar la eficiencia de otras bandas de delincuentes cibernéticos con su enfoque de atacar y correr en busca de ransomware dirigido», escribieron en una publicación los investigadores de Kaspersky Lab, Ivan Kwiatkowski, Pierre Delcher y Félix Aime. “¿Podrían realmente establecer un precio de rescate apropiado para su víctima durante las 10 horas que llevó implementar el ransomware? ¿Pudieron averiguar dónde estaban ubicadas las copias de seguridad? «

Una APT adopta ransomware

El VHD llamó la atención de los investigadores por dos razones. Primero, nunca antes habían visto ransomware. El otro: su técnica de difusión no era característica de los grupos de ciberdelincuencia. Específicamente, el ransomware intentó descifrar contraseñas para compartir archivos SMB en cada máquina que descubrió y, cuando tuvo éxito, utilizó Windows Management Instrumentation para ejecutar en recursos compartidos de red.

Publicidad

El enfoque fue más similar a los utilizados en los ataques contra Sony Pictures, las campañas de limpieza de discos de Shamoon y el malware OlympicDestroyer que interrumpió los Juegos Olímpicos de Invierno de 2018. Los investigadores creen ampliamente que estos ataques fueron llevados a cabo por piratas informáticos respaldados por el gobierno. – a menudo llamadas APT o amenazas persistentes avanzadas – de Corea del Norte, Irán y Rusia, respectivamente.

«Nos quedan más preguntas que respuestas», escribieron los investigadores. “Sentimos que este ataque no se ajustaba al modus operandi habitual de los grandes grupos de caza conocidos. Además, solo pudimos encontrar un número muy limitado de muestras de ransomware VHD en nuestra telemetría y algunas referencias públicas. Esto indicó que esta familia de ransomware puede no comercializarse ampliamente en los foros del mercado negro, como suele ser el caso. «

Después de profundizar, los investigadores encontraron VHD usando una puerta trasera basada en MATA, una estructura completa que se ejecuta en Windows, macOS y Linux. En una publicación publicada la semana pasada, Kaspersky Lab ofreció evidencia que vincula fuertemente a MATA con Lazarus. Al llamar a la puerta trasera Dacls, los investigadores de Malwarebytes llegaron de forma independiente a la misma evaluación.

“Los datos que tenemos a nuestra disposición tienden a indicar que el ransomware VHD no es un producto comercial listo para usar; y, hasta donde sabemos, el grupo Lazarus es el único propietario de la estructura MATA «, escribieron los investigadores de Kaspersky Lab.» Por lo tanto, llegamos a la conclusión de que el ransomware VHD también pertenece y es operado por Lazarus «.

El uso de VHD por parte de Lázaro es consistente con la búsqueda del grupo de delitos con motivación financiera, que en septiembre pasado habrían generado $ 2 mil millones para financiar los programas de armas de destrucción masiva del país. Como señalaron los investigadores, VHD tiene un largo camino por recorrer para lograr los ataques dirigidos y quirúrgicos del ransomware más avanzado.

«Al final, lo único que importa es si estas operaciones generaron ganancias para Lázaro», escribieron los investigadores. «Sólo el tiempo dirá si participan en un gran juego a tiempo completo o lo descartan como una experiencia fallida».