Os atores de ameaças com ligações suspeitas à China e à Coreia do Norte foram associados a ataques de ransomware e de encriptação de dados direcionados a setores governamentais e de infraestruturas críticas em todo o mundo entre 2021 e 2023.
Embora um grupo de atividades tenha sido associado ao ChamelGang (também conhecido como CamoFei), o segundo grupo se sobrepõe a atividades anteriormente atribuídas a grupos patrocinados pelo Estado chinês e norte-coreano, disseram as empresas de segurança cibernética SentinelOne e Recorded Future em um relatório conjunto compartilhado com The Hacker Information .
Isso inclui os ataques da ChamelGang direcionados ao All India Institute of Medical Sciences (AIIMS) e à Presidência do Brasil em 2022 usando ransomware CatB, bem como visando uma entidade governamental no Leste Asiático e uma organização de aviação no subcontinente indiano.
“Os atores de ameaças no ecossistema de espionagem cibernética estão engajados em uma tendência cada vez mais perturbadora de usar ransomware como estágio remaining em suas operações para fins de ganho financeiro, interrupção, distração, atribuição incorreta ou remoção de evidências”, afirmam os pesquisadores de segurança Aleksandar Milenkoski e Julian. -Ferdinand Vögele disse.
Os ataques de ransomware neste contexto não servem apenas como uma saída para sabotagem, mas também permitem que os agentes da ameaça encobrem os seus rastos, destruindo artefactos que, de outra forma, poderiam alertar os defensores da sua presença.
ChamelGang, documentado pela primeira vez pela Constructive Applied sciences em 2021, é avaliado como um grupo do nexo da China que opera com motivações tão variadas como coleta de inteligência, roubo de dados, ganho financeiro, ataques de negação de serviço (DoS) e operações de informação, de acordo com para a empresa taiwanesa de segurança cibernética TeamT5.
É conhecido por possuir uma ampla gama de ferramentas em seu arsenal, incluindo BeaconLoader, Cobalt Strike, backdoors como AukDoor e DoorMe e uma variedade de ransomware conhecida como CatB, que foi identificada como usada em ataques direcionados ao Brasil e à Índia com base em pontos em comum no nota de resgate, o formato do endereço de e-mail de contato, o endereço da carteira de criptomoeda e a extensão do nome dos arquivos criptografados.
Os ataques observados em 2023 também aproveitaram uma versão atualizada do BeaconLoader para fornecer Cobalt Strike para atividades de reconhecimento e pós-exploração, como descarte de ferramentas adicionais e exfiltração do arquivo de banco de dados NTDS.dit.
Além disso, vale ressaltar que malwares personalizados utilizados pelo ChamelGang, como DoorMe e MGDrive (cuja variante do macOS é chamada Gimmick), também foram vinculados a outros grupos de ameaças chineses, como REF2924 e Storm Cloud, aludindo mais uma vez à possibilidade de um “Intendente digital fornecendo malware a grupos operacionais distintos.”
O outro conjunto de intrusões envolve o uso do Jetico BestCrypt e do Microsoft BitLocker em ataques cibernéticos que afetam vários setores verticais da indústria na América do Norte, América do Sul e Europa. Estima-se que cerca de 37 organizações, predominantemente do setor industrial dos EUA, tenham sido visadas.
As táticas observadas no cluster, pelas duas empresas de segurança cibernética, são consistentes com aquelas atribuídas a uma equipe de hackers chinesa chamada APT41 e a um ator norte-coreano conhecido como Andariel, devido à presença de ferramentas como o net shell China Chopper e um backdoor conhecido como DTrack. .
“As operações de espionagem cibernética disfarçadas de atividades de ransomware oferecem uma oportunidade para os países adversários alegarem negação plausível, atribuindo as ações a atores cibercriminosos independentes, em vez de entidades patrocinadas pelo Estado”, disseram os pesquisadores.
“O uso de ransomware por grupos de ameaças de ciberespionagem confunde os limites entre o crime cibernético e a espionagem cibernética, proporcionando aos adversários vantagens tanto do ponto de vista estratégico quanto operacional.”
