Hace cinco años se lanzó el ataque del ransomware WannaCry, que los expertos atribuyen a Corea del Norte. Los efectos eran a veces dramáticos. Un comentario de Jens Monrad, jefe de inteligencia sobre amenazas de Mandiant, EMEA, sobre el desarrollo actual de las capacidades cibernéticas de Corea del Norte en comparación con hace cinco años.
WannaCry es un malware que encripta datos importantes en los sistemas infectados para extorsionar a las víctimas. WannaCry aprovechó una vulnerabilidad de día cero en el sistema operativo Windows para este propósito, que luego se solucionó con un parche de Microsoft.
230.000 ordenadores encriptados en 150 países
“WannaCry no solo fue uno de los ataques de ransomware más generalizados y destructivos, sino también un punto de inflexión para las operaciones cibernéticas respaldadas por el estado de Corea del Norte. Demostró las capacidades y la voluntad del régimen aislado para dañar a otras naciones en pos de los intereses nacionales. Corea del Norte tenía pocos incentivos para "seguir las reglas". Esta evolución continúa cinco años después, con el régimen utilizando sus capacidades cibernéticas para apoyar las prioridades políticas y de seguridad nacional y los objetivos financieros.
Hoy en día, mientras que el Grupo Lazarus se usa a menudo como un término general para los actores cibernéticos de Corea del Norte, en realidad hay varios grupos diferentes que operan como entidades cibernéticas distintas con diferentes objetivos para el estado. Las operaciones de espionaje del país, por ejemplo, probablemente reflejan las preocupaciones y prioridades inmediatas del régimen. Actualmente, es probable que se centren en recaudar recursos financieros a través de criptoatracos, ataques a medios, noticias y entidades políticas, así como relaciones exteriores e inteligencia nuclear.
¿Criptoatracos de Corea del Norte?
Jens Monrad, jefe de inteligencia de amenazas, EMEA en Mandiant (Imagen: Mandiant).
Al mismo tiempo, las superposiciones en la infraestructura, el malware y las tácticas, técnicas y procedimientos utilizados por los grupos de Corea del Norte sugieren que existen recursos compartidos para las operaciones cibernéticas y, por lo tanto, para la coordinación general. Según nuestra inteligencia, la mayoría de las operaciones cibernéticas de Corea del Norte, incluido el espionaje, las operaciones destructivas y los delitos financieros, son realizadas principalmente por elementos de la Oficina General de Inteligencia.
Media década después de WannaCry, los grupos de Corea del Norte continúan representando una seria amenaza. Debemos continuar reuniendo inteligencia sobre sus estructuras y capacidades para identificar patrones de ataque que permitan una defensa proactiva". Cliente: Not So Lazarus: mapeo de grupos de amenazas cibernéticas de la RPDC a organizaciones gubernamentales.
Más en Mandiant.com
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.