News

Estados Unidos responsabiliza a Corea del Norte por dos dañinas cepas de malware

El FBI y el Departamento de Seguridad Nacional de los Estados Unidos han publicado una declaración conjunta en la que acusan a una banda cibercriminal con supuestos vínculos con el gobierno de Corea del Norte de haber creado y distribuido por el mundo dos familias de malware.

Las investigaciones de las autoridades vinculan la autorías del troyano Joanap y el gusano Brambul con operaciones del gobierno coreano. “(El DSN y el FBI) han identificado direcciones IP y otros indicadores de infección (IoCs) asociados con dos familias de malware que son usadas por el gobierno de Corea del Norte”, dijeron las autoridades en una alerta que hicieron pública.

Las autoridades aseguran que Joanap permite a Corea del Norte “filtrar datos, descargar y ejecutar ataques en segundo plano e iniciar comunicaciones proxy en un dispositivo Windows comprometido”.

Brambul es un gusano que se instala en el equipo en la forma de un archivo de biblioteca o archivo ejecutable portátil. “Cuando se lo ejecuta, el programa intenta establecer contacto con los sistemas de las víctimas y direcciones IP de las subnets locales de las víctimas. Si logra hacerlo, la aplicación intenta conseguir acceso sin autorización mediante el protocolo SMB (puertos 139 y 445) ejecutando ataques que tratan de conseguir contraseñas a la fuerza usando una lista de contraseñas integradas. Además, el programa genera direcciones IP aleatorias para facilitar ataques futuros”.

Los programas roban información de los equipos y las actividades de sus usuarios y la comparten con el grupo de cibercriminales Hidden Cobra, también conocido como Lazarus, a quienes se atribuye una serie de ataques masivos y que causaron intensos daños durante los últimos años, incluyendo la intrusión a Sony Entertainment, las amenazas de WannaCry y ataques a varias entidades financieras de todo el mundo. Sus operaciones incluyen la Operación Blockbuster, Dark Seoul y Operación Troy, y el FBI asegura que es responsable de herramientas como Sharpknot, Hardrain, Badcall, Bankshot, Fallchil, Volgmer y Delta Charlie.

Los atacantes están distribuyendo Johanap y Brambul desde 2009 para conseguir información sobre medios de comunicación, entidades financieras, infraestructuras aeroespaciales e infraestructuras críticas de Estados Unidos y otros países del mundo.

No es la primera vez que se involucra a Corea del Norte en ciberataques maliciosos, pero Pyongyang siempre ha negado las acusaciones. Las alertas tampoco parecen detener a los atacantes, que siguen tan activos como siempre a pesar de las múltiples advertencias y acusaciones.

Fuentes
FBI fingers North Korea for two malware strains • The Register
US Says North Korea Behind Malware Attacks • The New York Times
U.S. Attributes Two More Malware Families to North Korea • Security Week

Estados Unidos responsabiliza a Corea del Norte por dos dañinas cepas de malware

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada