Los piratas informáticos chinos utilizan ransomware como señuelo para el espionaje cibernético

Dos grupos de piratas informáticos chinos que realizan espionaje cibernético y roban propiedad intelectual de empresas japonesas y occidentales están implementando ransomware como señuelo para encubrir sus actividades maliciosas.

Los analistas de amenazas de Secureworks dicen que el uso de ransomware en las operaciones de espionaje se hace para ocultar sus huellas, dificultar la atribución y crear una poderosa distracción para los defensores.
Finalmente, la exfiltración de la información confidencial se enmascara como ataques motivados financieramente, lo que no ocurre con los grupos de amenazas patrocinados por el gobierno chino.
Extraña actividad de ransomware

Los dos grupos de actividad de piratería analizados por Secureworks son «Bronze Riverside» (APT41) y «Bronze Starlight» (APT10), ambos utilizan HUI Loader para implementar troyanos de acceso remoto, PlugX, Cobalt Strike y QuasarRAT.

A partir de marzo de 2022, «Bronze Starlight» aprovechó Cobalt Strike para implementar cepas de ransomware como LockFile, AtomSilo, Rook, Night Sky y Pandora.

En estos ataques, los piratas informáticos también utilizaron una nueva versión de HUI Loader, que es capaz de conectar las llamadas a la API de Windows y deshabilitar el seguimiento de eventos para Windows (ETW) y la interfaz de análisis antimalware.
(AMSI) Interfaz de examen antimalware

La configuración de las balizas Cobalt Strike en tres ataques distintos utilizando AtomSilo, Night Sky y Pandora reveló una dirección C2 compartida. Además, se utilizó la misma fuente para cargar muestras de HUI Loader en Virus Total este año.
La actividad y la victimología de LockFile, AtomSilo, Rook, Night Sky y Pandora son inusuales en comparación con las operaciones de ransomware motivadas financieramente, que apuntan a un pequeño número de víctimas durante un breve período y luego abandonan el proyecto por completo.
Secureworks también comenta que hay superposiciones de código entre Pandora y la última versión de HUI Loader, por lo que esta conexión suelta podría apuntar a un grupo común.
LockFile y AtomSilo también parecen ser muy similares, mientras que Night Sky, Pandora y Rook se derivaron del código fuente de Babuk y también presentan amplias similitudes en su código.
Estas cinco operaciones de ransomware no dejaron huella en la comunidad del cibercrimen y nunca llegaron a convertirse en una amenaza significativa. Además, todos fueron abandonados algo prematuramente.

Dicho esto, «Bronze Starlight» podría estar creando cepas de ransomware de corta duración solo para enmascarar sus operaciones de ciberespionaje como ataques de ransomware, lo que reduce las posibilidades de lidiar con las ramificaciones de una atribución precisa.

Dado que todas las cepas de ransomware discutidas se basan en código filtrado o disponible públicamente, y los grupos de amenazas chinos son conocidos por compartir puertas traseras e infraestructura, no se puede decir nada con certeza.

Sin embargo, los hallazgos de Securework son interesantes y constituyen otra razón por la cual los defensores deben establecer mecanismos sólidos de detección y protección contra ransomware e inspeccionar minuciosamente todos los sistemas después de la limpieza.

Si bien no está claro si estas familias de ransomware se desarrollaron como señuelos para ocultar otras actividades maliciosas, no sería la primera vez que se usa ransomware de esta manera.

En 2018, los actores de amenazas implementaron un malware de limpieza de disco en cientos de computadoras en un banco chileno para distraer al personal mientras intentaban robar dinero a través del sistema de transferencia de dinero SWIFT.

Más recientemente, el ransomware falso conocido como HermeticWiper se implementó en las redes ucranianas un día antes de que Rusia invadiera el país.

Ya sabes que somos expertos en ciberseguridad, si quieres proteger tu negocio o el hogar ya sabes donde localizarnos….

Estaremos encantados de escuchar lo que piensas

Deje una respuesta

AHL Informática | La Mejor Tienda de Lanzarote
Logo
Registrar una cuenta nueva
Bienvenido a AHL Informática
Restablecer la contraseña