Informes de F-Secure: Los piratas informáticos de Corea del Norte lanzan una campaña de ataque global contra la industria de las criptomonedas. Aunque los atacantes profesionales cubrieron sus huellas, F-Secure pudo reconstruir un ataque global del llamado Grupo Lazarus.
Los especialistas en ciberseguridad de F-Secure han publicado un informe que vincula los detalles de un ataque dirigido a una empresa de la industria de criptomonedas con el Grupo Lazarus. El grupo de hackers, que se cree que tiene estrechos vínculos con la República Popular Democrática de Corea (RPDC), es conocido por su enfoque altamente profesional que persigue intereses puramente financieros. En el informe, al vincular pistas y patrones obtenidos del ataque con la investigación existente, F-Secure concluye que el incidente verificado es parte de una campaña global del Grupo Lazarus. Este está dirigido a empresas de la industria de las criptomonedas de Estados Unidos, Gran Bretaña, Holanda, Alemania, Singapur, Japón y otros países.
Informe descubre grupo de Lázaro
El informe analiza los registros, registros y otros artefactos técnicos recuperados por F-Secure durante la investigación forense de un ataque a una organización criptográfica. Los expertos en seguridad de F-Secure descubrieron que los métodos de ataque son casi idénticos a las prácticas utilizadas anteriormente por Lazarus Group, también conocido como APT38.
Además, el informe incluye detalles sobre Tácticas, Técnicas y Procedimientos (TTP) utilizados durante el ataque. Por ejemplo, los atacantes pudieron usar "spearphishing" para explotar servicios externos confiables. En este caso concreto, se envió una oferta de trabajo falsa adaptada específicamente al perfil del destinatario a través de la plataforma de LinkedIn.
Ataques similares en al menos 14 países
Con base en los artefactos de phishing recuperados después del ataque de Lazarus Group, los investigadores de F-Secure pudieron vincular el incidente con una extensa campaña que se ha estado ejecutando desde enero de 2018. Según el informe, se han detectado artefactos similares en ataques en al menos 14 países: Estados Unidos, China, Gran Bretaña, Canadá, Alemania, Rusia, Corea del Sur, Argentina, Singapur, Hong Kong, Países Bajos, Estonia, Japón y el Filipinas.
El Grupo Lazarus hizo todo lo posible para eludir las defensas de la empresa afectada durante el ataque. Por ejemplo, pudo deshabilitar el software antivirus en los hosts comprometidos y eliminar cualquier evidencia de sus actividades. Y aunque el informe caracteriza el ataque como altamente profesional, indica que los esfuerzos del Grupo Lazarus para cubrir sus huellas posteriormente no fueron suficientes. Numerosas pistas ocultas y sin resolver finalmente dieron a F-Secure evidencia clara de las actividades de los atacantes.
Equipo de respuesta a incidentes, detección y respuesta gestionada y defensa táctica
“El ataque fue investigado por especialistas experimentados de nuestros equipos de Respuesta a Incidentes, Detección y Respuesta Administrada y Defensa Táctica. Resultó que este ataque tenía una serie de similitudes con las actividades conocidas del grupo Lazarus. Creemos que también fueron responsables de este ataque”, dijo Matt Lawrence, Director de Detección y Respuesta de F-Secure. Las organizaciones ahora pueden consultar el informe para familiarizarse con el ciberataque específico, los TTP y el Grupo Lazarus en general. Además, se dan recomendaciones directas de seguridad para protegerse contra los ataques del grupo de hackers.
Más información en F-Secure.com
Acerca de F-Secure Nadie conoce mejor los ciberataques reales que F-Secure. Cerramos la brecha entre la detección y la respuesta. Para hacer esto, aprovechamos la inigualable experiencia en amenazas de cientos de los principales consultores técnicos de nuestra industria, los datos de millones de dispositivos que ejecutan nuestro galardonado software y las innovaciones continuas en inteligencia artificial. Los principales bancos, aerolíneas y corporaciones confían en nuestro compromiso de luchar contra las ciberamenazas más peligrosas del mundo. Junto con nuestra red de socios de canal principales y más de 200 proveedores de servicios, nuestra misión es brindar a todos nuestros clientes seguridad cibernética de nivel empresarial adaptada a sus necesidades. Fundada en 1988, F-Secure cotiza en NASDAQ OMX Helsinki Ltd.