En Corea del Norte, actores maliciosos estuvieron involucrados en un incidente reciente en el que se implementó una conocida familia de ransomware llamada Play, lo que puso de relieve sus motivaciones financieras.
La actividad, observada entre mayo y septiembre de 2024, se atribuyó a un actor de amenazas rastreado como pez nerviosotambién conocido como Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (antes Plutonium), Operation Troy, Silent Chollima y Stonefly.
“Creemos con confianza moderada que Jumpy Pisces, o una facción del grupo, ahora está colaborando con el grupo de ransomware Play”, Unidad 42 de Palo Alto Networks. dicho en un nuevo informe publicado hoy.
“Este incidente es significativo porque marca la primera colaboración registrada entre el grupo Jumpy Pisces, patrocinado por el estado de Corea del Norte, y una red clandestina de ransomware”.
Andariel, activo desde al menos 2009, está afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Ya se ha observado la implementación de otras dos cepas de ransomware conocidas como SHATTEREDGLASS y Maui.
A principios de este mes, Symantec, parte de Broadcom, señaló que tres organizaciones diferentes en los Estados Unidos fueron atacadas por un equipo de piratería patrocinado por el estado en agosto de 2024 en un ataque probablemente motivado por razones financieras, incluso si no se había implementado ningún ransomware en sus redes. .
Play, por otro lado, es una operación de ransomware que se cree que ha afectado a unas 300 organizaciones hasta octubre de 2023. También se conoce como Balloonfly, Fiddling Scorpius y PlayCrypt.
Si bien la empresa de ciberseguridad Adlumin reveló a fines del año pasado que la operación puede haber cambiado a un modelo de ransomware como servicio (RaaS), los actores de amenazas detrás de Play han anunciado desde entonces en su sitio de filtración de datos de la web oscura que ese no era el caso.
En el incidente investigado por la Unidad 42, Andariel supuestamente obtuvo acceso por primera vez a través de una cuenta de usuario comprometida en mayo de 2024, luego emprendió actividades de persistencia y movimiento lateral utilizando el marco de comando y control (C2) Sliver y una puerta trasera hecha a medida llamada Dtrack. (también conocido como Valefor y Preft).
“Estas herramientas remotas continuaron comunicándose con su servidor de comando y control (C2) hasta principios de septiembre”, dijo la Unidad 42. “Esto finalmente condujo a la implementación del ransomware Play”.
La implementación del ransomware Play fue precedida por un actor de amenazas no identificado que se infiltró en la red utilizando la misma cuenta de usuario comprometida, después de lo cual se observó que recopilaba credenciales, aumentaba privilegios y desinstalaba sensores de detección y respuesta de puntos finales (EDR), todas características previas a la explotación. -actividades de ransomware.
También se utilizó un troyano binario como parte del ataque, capaz de recopilar el historial del navegador web, información de autocompletar y detalles de tarjetas de crédito para Google Chrome, Microsoft Edge y Brave.
El uso de la cuenta de usuario comprometida por Andariel y Play Asia, la conexión entre los dos conjuntos de intrusiones proviene del hecho de que la comunicación con el servidor Sliver C2 (172.96.137[.]224) permaneció en progreso hasta el día antes de que se implementara el ransomware. La dirección IP C2 ha estado desconectada desde el día de la implementación.
“Aún no está claro si Jumpy Pisces se convirtió oficialmente en afiliado del ransomware Play o si actuó como IAB. [initial access broker] vendiendo acceso a la red a los actores del ransomware Play”, concluyó la Unidad 42. “Si el ransomware Play no proporciona un ecosistema RaaS como afirma, Jumpy Pisces solo podría haber actuado como un IAB”.