Grupo norte-coreano colabora com Play Ransomware em ataque cibernético significativo

Os atores de ameaças na Coreia do Norte foram implicados num incidente recente que implantou uma conhecida família de ransomware chamada Play, sublinhando as suas motivações financeiras.

A atividade, observada entre maio e setembro de 2024, foi atribuída a um ator de ameaça rastreado como Peixes saltitantesque também é conhecido como Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima e Stonefly.

“Acreditamos com moderada confiança que Jumpy Pisces, ou uma facção do grupo, está agora colaborando com o grupo de ransomware Play”, disse a Unidade 42 da Palo Alto Networks em um novo relatório publicado hoje.

“Este incidente é significativo porque marca a primeira colaboração registrada entre o grupo patrocinado pelo estado norte-coreano Jumpy Pisces e uma rede clandestina de ransomware.”

Cibersegurança

Andariel, ativo desde pelo menos 2009, é afiliado ao Reconnaissance Common Bureau (RGB) da Coreia do Norte. Foi observado anteriormente a implantação de duas outras variedades de ransomware conhecidas como SHATTEREDGLASS e Maui.

No início deste mês, a Symantec, parte da Broadcom, observou que três organizações diferentes nos EUA foram alvo da equipe de hackers patrocinada pelo Estado em agosto de 2024 como parte de um provável ataque com motivação financeira, embora nenhum ransomware tenha sido implantado em suas redes.

Play, por outro lado, é uma operação de ransomware que se acredita ter impactado aproximadamente 300 organizações em outubro de 2023. Também é conhecido como Balloonfly, Fiddling Scorpius e PlayCrypt.

Embora a empresa de segurança cibernética Adlumin tenha revelado no last do ano passado que a operação pode ter feito a transição para um modelo de ransomware como serviço (RaaS), os agentes de ameaças por trás do Play anunciaram em seu website de vazamento de dados da darkish internet que esse não é o caso.

No incidente investigado pela Unidade 42, acredita-se que Andariel obteve acesso inicial por meio de uma conta de usuário comprometida em maio de 2024, seguido pela realização de movimento lateral e atividades de persistência usando a estrutura de comando e controle (C2) Sliver e um backdoor personalizado chamado Dtrack. (também conhecido como Valefor e Preft).

“Essas ferramentas remotas continuaram a se comunicar com seu servidor de comando e controle (C2) até o início de setembro”, disse a Unidade 42. “Isso acabou levando à implantação do ransomware Play.”

A implantação do ransomware Play foi precedida por um agente de ameaça não identificado se infiltrando na rede usando a mesma conta de usuário comprometida, após o que eles foram observados realizando coleta de credenciais, escalonamento de privilégios e desinstalação de sensores de detecção e resposta de endpoint (EDR), todas características de pré- -atividades de ransomware.

Também foi utilizado como parte do ataque um binário trojanizado que é capaz de coletar o histórico do navegador da internet, informações de preenchimento automático e detalhes de cartão de crédito para Google Chrome, Microsoft Edge e Courageous.

O uso da conta de usuário comprometida por Andariel e Play Asia, a conexão entre os dois conjuntos de intrusão decorre do fato de que a comunicação com o servidor Sliver C2 (172.96.137(.)224) permaneceu em andamento até o dia anterior à implantação do ransomware. O endereço IP C2 está offline desde o dia em que a implantação ocorreu.

“Ainda não está claro se Jumpy Pisces se tornou oficialmente afiliado do ransomware Play ou se eles atuaram como um IAB (corretor de acesso inicial) vendendo acesso à rede para atores de ransomware Play”, concluiu a Unidade 42. “Se o ransomware Play não fornecer um ecossistema RaaS como afirma, o Jumpy Pisces pode ter agido apenas como um IAB.”

Exit mobile version