Hakeri iz Sjeverne Koreje koje podržava država provode napade ransomware-a na zdravstvene i kritične infrastrukturne objekte kako bi finansirali nezakonite aktivnosti, upozorile su američke i južnokorejske kibernetičko-bezbjednosne i obavještajne agencije u zajedničkom savjetovanju.
Napadi, koji zahtijevaju otkupninu kriptovaluta u zamjenu za vraćanje pristupa šifrovanim datotekama, osmišljeni su da podrže prioritete i ciljeve Sjeverne Koreje na nacionalnom nivou.
To uključuje “kibernetičke operacije usmjerene na vlade Sjedinjenih Država i Južne Koreje, specifične mete uključuju informacione mreže Ministarstva odbrane i mreže članica Odbrambene industrijske baze”, rekle su vlasti.
Hakeri iz Sjeverne Koreje godinama su povezani sa špijunažom, finansijskom krađom i operacijama cryptojacking-a, uključujući zloglasne WannaCry ransomware napade iz 2017. godine koji su zarazili stotine hiljada mašina koje se nalaze u preko 150 zemalja.
Od tada, ekipe sjevernokorejske nacionalne države okušale su se u više vrsta ransomware-a kao što su VHD, Maui i H0lyGh0st kako bi generisali stalan priliv ilegalnih prihoda za režim pogođen sankcijama.
Osim što nabavlja svoju infrastrukturu putem kriptovalute generisane kroz svoje kriminalne aktivnosti, poznato je da protivnik funkcioniše pod stranim pridruženim identitetima trećih strana kako bi prikrio svoju umiješanost.
Lanci napada koje je montirala hakerska ekipa podrazumevaju iskorištavanje poznatih sigurnosnih propusta u Apache Log4j, SonicWall i TerraMaster NAS uređajima (npr. CVE 2021-44228 , CVE-2021-20038 i CVE-2022-249) za dobijanje početnog pristupa prate ga izviđanjem, lateralnim kretanjem i implementacijom ransomware-a.
Osim što koriste privatno razvijeni ransomware, hakeri su primijećeni kako koriste gotove alate kao što su BitLocker, DeadBolt, ech0raix, Jigsaw i YourRansom za šifrovanje datoteka, a da ne spominjemo čak i lažno predstavljanje drugih ransomware grupa kao što je REvil.
Kao ublažavanje, agencije preporučuju organizacijama da implementiraju princip najmanje privilegija, onemoguće nepotrebne interfejse za upravljanje mrežnim uređajima, nametnu višeslojnu segmentaciju mreže, zahtijevaju kontrole autentifikacije otporne na krađu identiteta i održavaju periodične sigurnosne kopije podataka.
Upozorenje dolazi nakon što je novi izvještaj Ujedinjenih naroda otkrio da su sjevernokorejski hakeri 2022. godine ukrali rekordnu virtuelnu imovinu za koju se procjenjuje da je vrijedna između 630 miliona dolara i više od milijardu dolara.
U izvještaju, koji je uvidio Associated Press, navodi se da su hakeri koristili sve sofistikovanije tehnike kako bi dobili pristup digitalnim mrežama uključenim u kibernetičko finansiranje i da bi ukrali informacije od vlada, kompanija i pojedinaca koje bi mogle biti korisne u nuklearnim i balističkim programima Sjeverne Koreje.
Nadalje je prozvao Kimsuky, Lazarus Group i Andariel, koji su svi dio Reconnaissance General Bureau-a (RGB), da nastavljaju ciljati žrtve s ciljem stvaranja prihoda i prikupljanja informacija od vrijednosti.
Izvor: The Hacker News