Ayer, en el tercer aniversario del infame brote mundial de ransomware WannaCry por el que se culpó a Corea del Norte, el gobierno de EE. UU. publicó información sobre tres nuevas cepas de malware utilizadas por piratas informáticos norcoreanos patrocinados por el estado.
Llamadas COPPERHEDGE, TAINTEDSCRIBE y PEBBLEDASH, las variantes de malware son capaces de reconocimiento remoto y exfiltración de información confidencial de los sistemas de destino, según un aviso conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Defensa (DoD).
Las tres nuevas cepas de malware son la última incorporación a una larga lista de más de 20 muestras de malware, incluidos BISTROMATH, SLICKSHOES, HOPLIGHT y ELECTRICFISH, entre otros, que han sido identificados por las agencias de seguridad como parte de una serie de ataques cibernéticos maliciosos. actividad del gobierno de Corea del Norte que llama Hidden Cobra, o ampliamente conocido por el apodo de Lazarus Group.
Troyanos con todas las funciones
COPPERHEDGE, la primera de las tres nuevas variantes, es una herramienta de acceso remoto (RAT) con todas las funciones capaz de ejecutar comandos arbitrarios, realizar el reconocimiento del sistema y filtrar datos. Está siendo utilizado por actores de amenazas avanzadas para apuntar a los intercambios de criptomonedas y entidades relacionadas. Se han identificado seis versiones diferentes de COPPERHEDGE.
TAINTEDSCRIBE funciona como un implante de puerta trasera que se hace pasar por la utilidad de lector de pantalla Narrador de Microsoft para descargar cargas útiles maliciosas desde un servidor de comando y control (C2), cargar y ejecutar archivos e incluso crear y finalizar procesos.
Por último, PEBBLEDASH, al igual que TAINTEDSCRIBE, es otro troyano con capacidades para «descargar, cargar, eliminar y ejecutar archivos; permitir el acceso a la CLI de Windows; crear y finalizar procesos; realizar la enumeración del sistema de destino».
Una importante amenaza de ciberespionaje
La infección de ransomware WannaCry de 2017, también conocida como Wanna Decryptor, aprovechó un exploit SMB de Windows, denominado EternalBlue, que permitió a un pirata informático remoto secuestrar computadoras con Windows sin parches a cambio de pagos de Bitcoin de hasta $ 600. Desde entonces, el ataque se ha rastreado hasta Hidden Cobra.
Con el Grupo Lazarus responsable del robo de más de $ 571 millones en criptomonedas de los intercambios en línea, los ataques por motivos financieros llevaron al Tesoro de los EE. UU. a sancionar al grupo y sus dos filiales, Bluenoroff y Andariel, en septiembre pasado.
Luego, a principios de marzo, el Departamento de Justicia de EE. UU. (DoJ) acusó a dos ciudadanos chinos que trabajaban en nombre de los actores de amenazas de Corea del Norte por supuestamente lavar más de $ 100 millones en criptomonedas robadas utilizando tarjetas de regalo prepagas de Apple iTunes.
El mes pasado, el gobierno de EE. UU. emitió una guía sobre la «amenaza cibernética significativa» planteada por los piratas informáticos patrocinados por el estado de Corea del Norte a las instituciones bancarias y financieras mundiales, además de ofrecer una recompensa monetaria de hasta $ 5 millones por información sobre pasado o actividades ilícitas en curso de la RPDC en el ámbito cibernético.
«Las actividades cibernéticas maliciosas de la RPDC amenazan a Estados Unidos y a la comunidad internacional en general y, en particular, representan una amenaza significativa para la integridad y la estabilidad del sistema financiero internacional», advirtió el aviso.
«Bajo la presión de las fuertes sanciones de Estados Unidos y la ONU, la RPDC se ha basado cada vez más en actividades ilícitas, incluido el delito cibernético, para generar ingresos para sus programas de armas de destrucción masiva y misiles balísticos».
