"DoJ EUA acusa agente Norte-Coreano por ataques de ransomware em hospitais" e DoS oferece recompensa de US$ 10 milhões por informações que levem ao seu paradeiro

O Departamento de Justiça dos EUA (DoJ) divulgou na quinta-feira uma acusação contra Rim Jong Hyok, um agente da inteligência militar norte-coreana, por supostamente realizar ataques de ransomware contra instalações de saúde nos EUA e canalizar os pagamentos para financiar invasões adicionais em entidades de defesa, tecnologia e governo em todo o mundo.

“Rim Jong Hyok e seus co-conspiradores implantaram ransomware para extorquir hospitais e empresas de saúde dos EUA, lavando os lucros para financiar as atividades ilícitas da Coreia do Norte”, disse Paul Abbate, vice-diretor do Federal Bureau of Investigation (FBI). “Essas ações inaceitáveis e ilegais colocaram vidas inocentes em risco”.

Simultaneamente à acusação, o Departamento de Estado dos EUA anunciou uma recompensa de até US$ 10 milhões por informações que levem ao paradeiro de Hyok ou à identificação de outros indivíduos envolvidos na atividade maliciosa.

Hyok faz parte de uma equipe de hackers chamada Andariel (também conhecida como APT45, Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly e TDrop2), acusada de realizar ataques cibernéticos usando o ransomware Maui, que teve como alvo organizações no Japão e nos EUA desde 2022.

Os pagamentos de resgate foram lavados por facilitadores sediados em Hong Kong, convertendo os lucros ilícitos em yuans chineses, que foram sacados em caixas eletrônicos e usados para adquirir servidores virtuais privados (VPSes). Estes VPSes foram empregados para exfiltrar informações confidenciais de defesa e tecnologia.

Os alvos da campanha incluem duas bases da Força Aérea dos EUA, a NASA-OIG, além de empreiteiras de defesa sul-coreanas e taiwanesas, e uma empresa de energia chinesa. Em um ataque cibernético destacado pelo Departamento de Estado, ocorrido em novembro de 2022, foram exfiltrados mais de 30 gigabytes de dados de uma empreiteira de defesa dos EUA, incluindo informações técnicas não classificadas sobre materiais usados em aeronaves militares e satélites.

As agências também anunciaram a “interdição de aproximadamente US$ 114.000 em moeda virtual proveniente de ataques de ransomware e transações de lavagem de dinheiro relacionadas, bem como a apreensão de contas online usadas por co-conspiradores para realizar suas atividades cibernéticas maliciosas”.

Andariel, afiliada ao 3º Bureau do Reconnaissance General Bureau (RGB), tem um histórico de ataques a empresas, governos, indústrias aeroespaciais, nucleares e de defesa estrangeiros, visando obter informações técnicas confidenciais e propriedade intelectual para promover as aspirações militares e nucleares do regime. Recentemente, alvos de interesse incluíram instituições educacionais, empresas de construção e organizações de manufatura sul-coreanas.

“A Andariel representa uma ameaça contínua a vários setores da indústria em todo o mundo, incluindo entidades nos EUA, Coreia do Sul, Japão e Índia”, disse a Agência de Segurança Nacional (NSA). “O grupo financia sua atividade de espionagem por meio de operações de ransomware contra entidades de saúde dos EUA.”

O acesso inicial às redes-alvo é realizado explorando falhas de segurança conhecidas em aplicativos voltados para a Internet, permitindo que o grupo de hackers realize reconhecimento, enumeração de sistemas, persistência, escalonamento de privilégios, movimentação lateral e exfiltração de dados usando uma combinação de backdoors personalizados, cavalos de Troia de acesso remoto, ferramentas prontas para uso e utilitários de código aberto.

Outros vetores de distribuição de malware documentados incluem e-mails de phishing contendo anexos maliciosos, como arquivos de atalho do Microsoft Windows (LNK) ou arquivos de script de aplicativo HTML (HTA) dentro de arquivos ZIP.

“Os atores são bem versados no uso de ferramentas e processos nativos em sistemas, conhecidos como living-off-the-land (LotL)”, disse a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA. “Eles usam a linha de comando do Windows, o PowerShell, a linha de comando do Windows Management Instrumentation (WMIC) e o Linux bash para enumeração de sistemas, redes e contas.”

A Microsoft, em sua consultoria sobre o Andariel, descreveu-o como estando em constante evolução de seu conjunto de ferramentas para adicionar novas funcionalidades e implementar novas maneiras de contornar a detecção, enquanto exibe um “padrão de ataque bastante uniforme”.

“A capacidade do Onyx Sleet de desenvolver um espectro de ferramentas para lançar sua cadeia de ataque testada e comprovada o torna uma ameaça persistente, especialmente para alvos de interesse da inteligência norte-coreana, como organizações nos setores de defesa, engenharia e energia”, observou a Microsoft.

Algumas das ferramentas destacadas pela Microsoft incluem:

• TigerRAT: Malware que pode roubar informações confidenciais e executar comandos, como keylogging e gravação de tela, a partir de um servidor de comando e controle (C2).

• SmallTiger: Um backdoor em C++.

• LightHand: Um backdoor leve para acesso remoto a dispositivos infectados.

• ValidAlpha (também conhecido como Black RAT): Backdoor baseado em Go que pode executar arquivos arbitrários, listar conteúdos de diretórios, baixar arquivos, fazer capturas de tela e iniciar um shell para executar comandos arbitrários.

• Dora RAT: Malware simples com suporte para shell reverso e recursos de download/upload de arquivos.

“Eles evoluíram da segmentação de instituições financeiras sul-coreanas com ataques disruptivos para a segmentação do setor de saúde dos EUA com ransomware, conhecido como Maui, embora não na mesma escala que outros grupos de cibercrime de língua russa”, disse Alex Rose, diretor de pesquisa de ameaças e parcerias governamentais da Unidade de Combate a Ameaças da Secureworks. “Isso se soma à sua missão principal de coletar inteligência sobre operações militares estrangeiras e aquisição de tecnologia estratégica.”

Andariel é apenas uma das inúmeras equipes de hackers patrocinadas pelo Estado norte-coreano, junto com outros grupos rastreados como Lazarus Group, BlueNoroff, Kimsuky e ScarCruft.

“Durante décadas, a Coreia do Norte esteve envolvida na geração de receita ilícita por meio de empresas criminosas, para compensar a falta de indústria doméstica e seu isolamento diplomático e econômico global”, acrescentou Rose. “A tecnologia cibernética foi rapidamente adotada como uma capacidade estratégica que poderia ser usada tanto para a coleta de informações quanto para a obtenção de dinheiro. Historicamente, esses objetivos teriam sido cobertos por grupos diferentes, mas nos últimos anos houve uma indefinição e muitos dos grupos de ameaças cibernéticas que operam em nome da Coreia do Norte também se envolveram em atividades lucrativas.”

Via - THN