Cinque anni fa è stato lanciato l'attacco ransomware WannaCry, che gli esperti attribuiscono alla Corea del Nord. Gli effetti erano a volte drammatici. Un commento di Jens Monrad, Head of Threat Intelligence, EMEA di Mandiant, sullo sviluppo delle capacità informatiche della Corea del Nord oggi rispetto a cinque anni fa.
WannaCry è un malware che crittografa i dati importanti sui sistemi infetti per estorcere denaro alle vittime. A tale scopo WannaCry ha sfruttato una vulnerabilità zero-day nel sistema operativo Windows, che è stata poi risolta con una patch di Microsoft.
230.000 computer crittografati in 150 paesi
“WannaCry non è stato solo uno degli attacchi ransomware più diffusi e distruttivi, ma anche un punto di svolta per le operazioni informatiche sostenute dallo stato nordcoreano. Ha dimostrato le capacità e la volontà del regime isolato di danneggiare altre nazioni nel perseguimento degli interessi nazionali. La Corea del Nord aveva pochi incentivi a "giocare secondo le regole". Questa evoluzione continua cinque anni dopo, con il regime che utilizza le sue capacità informatiche per sostenere sia le priorità politiche e di sicurezza nazionale che gli obiettivi finanziari.
Oggi, mentre il gruppo Lazarus è spesso usato come termine generico per gli attori informatici nordcoreani, in realtà esistono diversi gruppi che operano come entità informatiche distinte con obiettivi diversi per lo stato. Le operazioni di spionaggio del paese, ad esempio, riflettono probabilmente le preoccupazioni e le priorità immediate del regime. Questi sono attualmente probabilmente focalizzati sulla raccolta di risorse finanziarie attraverso rapine crittografiche, attacchi a media, notizie ed entità politiche, nonché relazioni estere e intelligence nucleare.
Criptovalute nordcoreane?
Jens Monrad, Head of Threat Intelligence, EMEA presso Mandiant (Immagine: Mandiant).
Allo stesso tempo, le sovrapposizioni nell'infrastruttura, nel malware e nelle tattiche, tecniche e procedure utilizzate dai gruppi nordcoreani suggeriscono che esistono risorse condivise per le operazioni informatiche e quindi il coordinamento generale. Secondo la nostra intelligence, la maggior parte delle operazioni informatiche della Corea del Nord, tra cui spionaggio, operazioni distruttive e crimini finanziari, sono condotte principalmente da elementi del General Intelligence Office.
Mezzo decennio dopo WannaCry, i gruppi nordcoreani continuano a rappresentare una seria minaccia. Dobbiamo continuare a raccogliere informazioni sulle loro strutture e capacità per identificare modelli di attacco che consentano una difesa proattiva". Cliente: Not So Lazarus: mappatura dei gruppi di minacce informatiche della RPDC alle organizzazioni governative.
Altro su Mandiant.com
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.