Se sospecha que los atacantes patrocinados por el estado de Corea del Norte colaboraron con el grupo de ransomware Play en el ciberataque de septiembre, informó el miércoles la Unidad 42 de Palo Alto Networks.
El grupo, rastreado por la Unidad 42 como Jumpy Pisces, también conocido como Andariel, Onyx Sleet y Stonefly, obtuvo acceso por primera vez a través de cuentas comprometidas en mayo de 2024, y luego procedió a moverse lateralmente y persistir. Hemos implementado herramientas personalizadas y de código abierto para.
En septiembre, el acceso inicial establecido por Jumpy Pisces se utilizó para realizar actividades previas al ransomware y, en última instancia, implementar la carga útil del ransomware Play. Unit 42 cree con “cierta confianza” que esto marca una colaboración entre Jumpy Pisces y Play.
“Este cambio marca el primer caso observado en el que el grupo utiliza la infraestructura de ransomware existente, actuando potencialmente como un intermediario de acceso inicial (IAB) o un afiliado del grupo de ransomware Play”, escribieron los investigadores de Unit 42. “Sus cambios en tácticas, técnicas y procedimientos (TTP) apuntan a una participación más profunda en el panorama más amplio de amenazas de ransomware”.
Jumpy Pisces está asociado con la Oficina General de Reconocimiento del Ejército Popular de Corea del Norte y ha utilizado su propio ransomware personalizado en el pasado. En julio, el Departamento de Justicia de EE. UU. acusó a miembros del grupo por su presunta participación en el uso de ransomware Mau personalizado para atacar a organizaciones de atención médica estadounidenses.
Si bien Jumpy Piscis se ha asociado tradicionalmente con el ciberespionaje, recientemente se ha centrado en ataques abiertamente motivados por motivos financieros, que podrían usarse para financiar más ciberataques u otras actividades militares o del gobierno de Corea del Norte.
“Estos actores de amenazas norcoreanos son buenos para obtener acceso a las redes, pero tardan en ingresar al juego del ransomware, por lo que están trabajando con grupos que ya cuentan con la infraestructura, los procesos y los procedimientos. Es lo más inteligente. “, dijo a SC Media Erich Kron, defensor de la concienciación sobre la seguridad en KnowBe4. “El tiempo dirá si esta cooperación continúa o si el grupo norcoreano procede a construir su propia infraestructura de rescate”.
La Unidad 42 dice que este aparente cambio de táctica significa que las organizaciones deberían considerar la actividad de los actores del estado-nación y los indicadores como Jumpy Piscis como precursores potenciales del ransomware y deberían estar en guardia al defenderse contra este tipo de amenaza. Señaló que esto significa que sí existe. una necesidad de fortalecer la
Cómo los atacantes norcoreanos allanaron el camino para el ransomware Play
La Unidad 42 respondió a un ataque contra uno de sus clientes a principios de septiembre y rastreó las actividades del actor de la amenaza hasta el acceso inicial a través de la cuenta comprometida a finales de mayo.
Los atacantes primero comenzaron a distribuir una versión personalizada de la herramienta de equipo rojo de código abierto Sliver y una herramienta patentada llamada Dtrack a múltiples hosts en la organización víctima a través del protocolo Server Message Block (SMB). Durante las etapas iniciales del ataque también se utilizó una versión personalizada de la herramienta de volcado de credenciales de código abierto Mimikatz.
A lo largo de junio, el atacante continuó propagando Sliver, utilizando balizas Sliver para comunicarse con servidores de comando y control (C2) en direcciones IP previamente vinculadas a Jumpy Piscis. En agosto, los atacantes comenzaron a iniciar sesiones de Protocolo de escritorio remoto (RDP) utilizando herramientas especializadas para crear servicios maliciosos, recopilar información de configuración de red y crear cuentas de usuarios privilegiados.
Varios días antes de que se implementara el ransomware, Jumpy Pisces comenzó a extraer el Administrador de cuentas de seguridad de Windows (SAM), las colmenas de registro del sistema y de seguridad, continuó usando Mimikatz y continuó comunicándose con el servidor C2 a través de balizas Sliver. La Unidad 42 señaló que la comunicación con el servidor Jumpy Pisces C2 continuó hasta el 5 de septiembre, cuando se implementó el ransomware, y el servidor C2 ha estado desconectado desde entonces.
El 5 de septiembre, se accedió nuevamente a la cuenta comprometida utilizada en la intrusión inicial, incluido un volcado de credenciales del Servicio del subsistema de la autoridad de seguridad local (LSASS) mediante el Administrador de tareas, y se aprovechó el acceso no autorizado para llevar a cabo actividades previas al ransomware. Tokens de acceso a Windows, elevación a privilegios del sistema mediante PsExec y movimiento lateral adicional. La implementación del ransomware también estuvo precedida por una desinstalación masiva de sensores de detección y respuesta de puntos finales (EDR).
El ataque culminó el 5 de septiembre con el ransomware Play cifrando varios hosts en la red de la víctima. Basándose en el uso de la misma cuenta para el acceso inicial y la línea de tiempo de las comunicaciones de Sliver C2, la Unidad 42 concluyó que Jumpy Piscis probablemente operaba junto con Play. Aunque este ataque se llevó a cabo como afiliado o IAB, Play ahora afirma que no ejecuta un programa de ransomware como servicio (RaaS).
Además de Sliver, Mimikatz y el robo de información patentado DTrack, los investigadores también detectaron Jumpy Pisces como un troyano diseñado para robar el historial del navegador, información de autocompletar y detalles de tarjetas de crédito de los navegadores Chrome, Edge y Brave durante el ataque. Utilicé el binario jojonado de . La actividad previa al ransomware, que tuvo lugar el 5 de septiembre e incluyó la explotación de tokens de acceso de Windows y el uso de TokenPlayer para PsExec (ambos almacenados en la carpeta pública “Música”), también es consistente con ataques anteriores de Play. señaló que
Se observa cada vez más a los actores de amenazas de estados-nación implementando ransomware o colaborando con grupos de ransomware, pasando del ciberespionaje y el sabotaje a delitos potencialmente motivados por motivos financieros. En junio, investigadores de SentinelOne y Recorded Future vincularon a los presuntos grupos de amenazas respaldados por China APT41 y ChamelGang, junto con Andariel, con una ola de ataques de ransomware de 2021 a 2023. Lo hice.
Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) informó en agosto que el actor de amenazas respaldado por Irán, Pioneer Kitten, estaba trabajando con afiliados de NoEscape, Ransomhouse y ALPHV/BlackCat para proteger a las víctimas a cambio de cierta seguridad. acceso inicial a la red. Pagos de ransomware.
https://packetstormsecurity.com/news/view/36539/North-Korean-Nation-State-Threat-Actor-Using-Play-Ransomware.html
