Hoy en día, las organizaciones se enfrentan a un aumento de las amenazas a la ciberseguridad que pueden provocar importantes daños financieros y de reputación.
La ciberseguridad implica la implementación y aplicación de diversas tecnologías, procesos y prácticas para proteger datos y sistemas confidenciales del acceso no autorizado y los ciberataques.
Google advirtió recientemente a las organizaciones sobre los trabajadores de TI que trabajan en nombre de los piratas informáticos norcoreanos.
Google advierte sobre los trabajadores informáticos norcoreanos
Los agentes de TI de Corea del Norte, identificados como UNC5267, están explotando el sector tecnológico global mediante sofisticados robos de identidad y tácticas cibernéticas.
Crean personajes elaborados utilizando información personal robada, imágenes generadas por IA y currículums falsos alojados en plataformas como Netlify y Google Docs.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Estos operadores suelen utilizar redes privadas virtuales (VPN), como Astrill, para enrutar el tráfico a través de China o Corea del Norte.
Los atacantes instalan una variedad de herramientas de acceso remoto (RAT) en dispositivos corporativos, incluidos GoToRemote, LogMeIn, Chrome Remote Desktop, AnyDesk, TeamViewer y RustDesk.
Las operaciones a menudo se centran en una “granja de computadoras portátiles” donde se administran y controlan de forma remota múltiples dispositivos corporativos a través de un conmutador de teclado, video y mouse (KVM) basado en IP.
Para mantener la ilusión de actividad, utilizan un software de “movimiento del ratón con cafeína”. Las estrategias de detección incluyen el monitoreo de números de VoIP, discrepancias en la geolocalización y el uso de múltiples RAT en un solo sistema.
Las contramedidas avanzadas incluyen la implementación de MFA basada en hardware, autenticación biométrica y verificación de conexiones desde nodos de salida VPN conocidos.
Como resultado, los investigadores instaron a las organizaciones a permanecer atentas a las señales de alerta de comportamiento. Estos agentes a menudo se disfrazan de trabajos múltiples, lo que puede comprometer potencialmente las redes de cientos de empresas.
Sus actividades tienen dos propósitos:
Proporcionar ingresos al régimen de Corea del Norte (estimados en un caso en 6,8 millones de dólares entre 2020 y 2023). Facilitar el acceso a la red a largo plazo para futuras operaciones cibernéticas.
Se observó que este actor de amenazas impactó a más de 300 empresas estadounidenses en un solo ataque, lo que destaca la escala y la sofisticación de sus esfuerzos de intrusión.
medidas de mitigación
Todas las mitigaciones se enumeran a continuación.
Exigir inspecciones periódicas por vídeo sin previo aviso de los empleados remotos. Proporcionar educación continua sobre amenazas y tendencias a usuarios y empleados. Proporcionar formación adicional sobre cómo denunciar actividades sospechosas. Colabore con proveedores de seguridad y comunidades de intercambio de información. Requiere una verificación de identidad más estricta para los bancos estadounidenses que realizan transacciones financieras.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
Google Warns of North Korean IT Workers Have Infiltrated the U.S. Workforce
