Un nuevo aviso de ciberseguridad de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) describe las tácticas, técnicas y procedimientos (TTP) observados recientemente en operaciones de ransomware norcoreano contra la sanidad pública y otros sectores de infraestructuras críticas.
El documento es un informe conjunto de la NSA, el FBI, la CISA, el HHS de EE.UU. y el Servicio Nacional de Inteligencia y la Agencia de Seguridad de Defensa de la República de Corea, y señala que los fondos extorsionados de esta manera se destinaron a apoyar las prioridades y objetivos a nivel nacional del gobierno norcoreano.
Aparte de las taquillas de desarrollo privado, CISA afirma que los piratas informáticos también utilizaron una docena de otras cepas de malware de cifrado de archivos para atacar los sistemas sanitarios surcoreanos y estadounidenses.
Según el aviso de CISA, los actores de amenazas norcoreanos adquieren la infraestructura necesaria para un ataque utilizando personas y cuentas falsas y criptomoneda obtenida ilegalmente. Para ocultar el rastro del dinero, suelen buscar intermediarios extranjeros adecuados.
Los atacantes ocultan su origen a través de servicios VPN y servidores privados virtuales (VPS) o direcciones IP de terceros países.
La violación del objetivo se realiza explotando diversas vulnerabilidades que permiten el acceso y la escalada de privilegios en las redes objetivo.
Entre los problemas de seguridad explotados se encuentran Log4Shell (CVE-2021-44228), fallos de ejecución remota de código en dispositivos SonicWall no parcheados (CVE-2021-20038) y fallos de revelación de contraseñas de administrador en productos NAS TerraMaster (CVE-2022-24990).
Después de establecer el acceso inicial, los ciberdelicuentes norcoreanos llevan a cabo el reconocimiento de la red y el movimiento lateral mediante la ejecución de comandos shell y el despliegue de cargas útiles adicionales que ayudan a recopilar información.
En la última etapa del ataque, el actor de la amenaza exige el pago de un rescate en criptomoneda Bitcoin. Utilizan cuentas de Proton Mail para comunicarse con las víctimas. En muchos casos, las demandas van acompañadas de amenazas de filtrar los datos robados, especialmente cuando la víctima es una empresa privada del sector sanitario.
CISA recomienda que las organizaciones sanitarias implementen medidas de seguridad como la autenticación multifactor (MFA) para la protección de cuentas, la conectividad cifrada, apagar las interfaces no utilizadas, utilizar herramientas de monitorización del tráfico de red, seguir los principios de mínimo privilegio y aplicar las actualizaciones de seguridad disponibles en todos los productos de software que utilicen.