Os trabalhadores norte-coreanos das tecnologias de informação (TI) que obtêm emprego sob identidades falsas em empresas ocidentais não estão apenas a roubar propriedade intelectual, mas também a exigir resgates para não a divulgarem, marcando uma nova reviravolta nos seus ataques com motivação financeira.
“Em alguns casos, trabalhadores fraudulentos exigiram pagamentos de resgate de seus ex-empregadores após obterem acesso privilegiado, uma tática não observada em esquemas anteriores”, disse a Secureworks Counter Risk Unit (CTU) em uma análise publicada esta semana. “Em um caso, um empreiteiro exfiltrou dados proprietários quase imediatamente após iniciar o emprego em meados de 2024.”
A atividade, acrescentou a empresa de segurança cibernética, compartilha semelhanças com um grupo de ameaças que rastreia como Nickel Tapestry, também conhecido como Well-known Chollima e UNC5267.
O esquema fraudulento de trabalhadores de TI, orquestrado com a intenção de promover os interesses estratégicos e financeiros da Coreia do Norte, refere-se a uma operação de ameaça interna que envolve a infiltração de empresas no Ocidente para a geração de receitas ilícitas para a nação atingida por sanções.
Estes trabalhadores norte-coreanos são normalmente enviados para países como a China e a Rússia, de onde se passam por freelancers em busca de potenciais oportunidades de emprego. Como outra opção, também foi descoberto que eles roubam identidades de indivíduos legítimos residentes nos EUA para atingir os mesmos objetivos.
Eles também são conhecidos por solicitar alterações nos endereços de entrega de laptops fornecidos pelas empresas, muitas vezes redirecionando-os para intermediários em fazendas de laptops, que são compensados por seus esforços por facilitadores estrangeiros e são responsáveis pela instalação de software program de desktop remoto que permite que a Coreia do Norte atores se conectem aos computadores.
Além do mais, vários empreiteiros podem acabar sendo contratados pela mesma empresa ou, alternativamente, um indivíduo pode assumir diversas personas.
A Secureworks disse que também observou casos em que os falsos contratantes solicitaram permissão para usar seus próprios laptops pessoais e até fizeram com que as organizações cancelassem totalmente a remessa do laptop computer porque mudaram o endereço de entrega enquanto ele estava em trânsito.
“Este comportamento está alinhado com a estratégia da Nickel Tapestry de tentar evitar laptops corporativos, potencialmente eliminando a necessidade de um facilitador no país e limitando o acesso a evidências forenses”, afirmou. “Essa tática permite que os contratados usem seus laptops pessoais para acessar remotamente a rede da organização”.
Num sinal de que os agentes da ameaça estão a evoluir e a levar as suas actividades para o próximo nível, surgiram provas que demonstram como um empreiteiro cujo emprego foi rescindido por uma empresa não identificada por mau desempenho recorreu ao envio de e-mails de extorsão, incluindo anexos ZIP contendo provas de roubo. dados.
“Esta mudança altera significativamente o perfil de risco associado à contratação inadvertida de trabalhadores de TI norte-coreanos”, disse Rafe Pilling, Diretor de Inteligência de Ameaças da Secureworks CTU, em comunicado. “Eles não estão mais apenas atrás de um salário estável, eles estão buscando quantias maiores, mais rapidamente, por meio de roubo de dados e extorsão, de dentro das defesas da empresa”.
Para enfrentar a ameaça, as organizações foram instadas a estar vigilantes durante o processo de recrutamento, incluindo a realização de verificações de identidade completas, a realização de entrevistas presenciais ou em vídeo, e a estarem atentas a tentativas de redirecionar equipamentos de TI corporativos enviados aos contratantes declarados. endereço residencial, roteamento de contracheques para serviços de transferência de dinheiro e acesso à rede corporativa com ferramentas de acesso remoto não autorizadas.
“Esta escalada e os comportamentos listados no alerta do FBI demonstram a natureza calculada destes esquemas”, disse Secureworks CTU, apontando o comportamento financeiro suspeito dos trabalhadores e as suas tentativas de evitar a ativação do vídeo durante as chamadas.
“O surgimento de pedidos de resgate marca um afastamento notável dos esquemas anteriores da Nickel Tapestry. No entanto, a atividade observada antes da extorsão alinha-se com esquemas anteriores envolvendo trabalhadores norte-coreanos.”
