Los piratas informáticos de Corea del Norte robaron millones de las empresas emergentes de criptomonedas en todo el mundo

criptomoneda Noticias

Los operadores asociados con el subgrupo BlueNoroff de Lazarus han sido vinculados a una serie de ataques cibernéticos dirigidos a pequeñas y medianas empresas en todo el mundo con el objetivo de drenar sus fondos de criptomonedas, en lo que es otra operación motivada financieramente montada por el prolífico patrocinado por el estado de Corea del Norte. actor.

La empresa rusa de ciberseguridad Kaspersky, que está rastreando las intrusiones bajo el nombre de «SnatchCrypto«, señaló que la campaña se ha estado ejecutando desde 2017, y agregó que los ataques están dirigidos a nuevas empresas en el sector FinTech ubicadas en China, Hong Kong, India, Polonia, Rusia, Singapur, Eslovenia, República Checa, Emiratos Árabes Unidos, EE. UU. , Ucrania y Vietnam.

«Los atacantes han estado abusando sutilmente de la confianza de los empleados que trabajan en las empresas objetivo al enviarles una puerta trasera de Windows con todas las funciones con funciones de vigilancia, disfrazada como un contrato u otro archivo comercial», dijeron los investigadores. dicho. «Para eventualmente vaciar la billetera criptográfica de la víctima, el actor ha desarrollado recursos extensos y peligrosos: infraestructura compleja, exploits e implantes de malware».

BlueNoroff, y el paraguas Lazarus más grande, son conocido por desplegar un arsenal diverso de malware para un asalto múltiple a las empresas para obtener fondos de forma ilícita, incluso confiar en una combinación de tácticas de phishing avanzadas y malware sofisticado, para el régimen de Corea del Norte golpeado por las sanciones y generar ingresos para sus armas nucleares y balística programas de misiles.

En todo caso, estas ciberofensivas están dando sus frutos a lo grande. De acuerdo a un nuevo reporte Publicado por la firma de análisis de cadenas de bloques Chainalysis, el Grupo Lazarus ha sido vinculado a siete ataques a plataformas de criptomonedas que extrajeron casi $400 millones en activos digitales solo en 2021, frente a $300 millones en 2020.

Hackers de criptomonedas

«Estos ataques se dirigieron principalmente a empresas de inversión y bolsas de valores centralizadas. […] para desviar fondos de las redes conectadas a Internet de estas organizaciones billeteras ‘calientes’ a direcciones controladas por la RPDC», dijeron los investigadores. «Una vez que Corea del Norte obtuvo la custodia de los fondos, comenzaron un cuidadoso proceso de lavado para encubrir y retirar dinero» a través de batidoras para oscurecer el camino.

La actividad maliciosa documentada que involucra al actor del estado-nación ha tomado la forma de atracos habilitados cibernéticamente contra instituciones financieras extranjeras, en particular los ataques a la red bancaria SWIFT en 2015-2016, con campañas recientes que resultaron en el despliegue de una puerta trasera llamada AppleJeus que se hace pasar por un plataforma de comercio de criptomonedas para saquear y transferir dinero a sus cuentas.

Hackers de criptomonedas

Los ataques de SnatchCrypto no son diferentes en el sentido de que son parte de los esfuerzos del actor centrados en «acechar y estudiar» las empresas de criptomonedas al inventar esquemas elaborados de ingeniería social para generar confianza con sus objetivos haciéndose pasar por empresas legítimas de capital de riesgo, solo para atraer a las víctimas a abrir documentos con malware que recuperan una carga útil diseñada para ejecutar un ejecutable malicioso recibido a través de un canal cifrado desde un servidor remoto.

Un método alternativo utilizado para desencadenar la cadena de infección es el uso de archivos de acceso directo de Windows («.LNK») para obtener el malware de la siguiente etapa, un script de Visual Basic, que luego actúa como punto de partida para ejecutar una serie de cargas intermedias. antes de instalar una puerta trasera con todas las funciones que viene con capacidades «enriquecidas» para capturar capturas de pantalla, registrar pulsaciones de teclas, robar datos del navegador Chrome y ejecutar comandos arbitrarios.

Hackers de criptomonedas

Sin embargo, el objetivo final de los ataques es monitorear las transacciones financieras de los usuarios comprometidos y robar criptomonedas. Si un objetivo potencial usa una extensión de Chrome como Metamask para administrar billeteras criptográficas, el adversario se mueve sigilosamente para reemplazar localmente el componente principal de la extensión con una versión falsa que alerta a los operadores cada vez que se inicia una transferencia grande a otra cuenta.

En la fase final, los fondos se desvían posteriormente realizando una inyección de código malicioso para interceptar y modificar los detalles de la transacción a pedido. «Los atacantes modifican no solo al destinatario [wallet] dirección, pero también lleva la cantidad de moneda al límite, esencialmente vaciando la cuenta en un solo movimiento», los investigadores explicado.

«Las criptomonedas son un sector muy objetivo cuando se trata de ciberdelincuencia debido a la naturaleza descentralizada de las monedas y al hecho de que, a diferencia de las tarjetas de crédito o las transferencias bancarias, la transacción se realiza rápidamente y es imposible revertirla», Erich Kron, defensor de la conciencia de seguridad. en KnowBe4, dijo en un comunicado.

«Los estados-nación, especialmente aquellos bajo aranceles estrictos u otras restricciones financieras, pueden beneficiarse enormemente al robar y manipular criptomonedas. Muchas veces, una billetera de criptomonedas puede contener múltiples tipos de criptomonedas, lo que las convierte en un objetivo muy atractivo», agregó Kron.

David
Rate author
Hackarizona