Un informe conjunto de las empresas de ciberseguridad SentinelOne y Recorded Future ha revelado presuntos vínculos de actores de amenazas con China y Corea del Norte en ataques de ransomware entre 2021 y 2023 dirigidos a sectores gubernamentales y de infraestructura crítica en todo el mundo.
Un grupo de actividad se ha relacionado con ChamelGang, también conocido como CamoFei, y el segundo grupo se superpone con actividades atribuidas a grupos chinos y norcoreanos. Los ataques de ChamelGang incluyen al All India Institute of Medical Sciences (AIIMS) y la Presidencia de Brasil en 2022 con el ransomware CatB, así como a una entidad gubernamental en el este de Asia y una organización de aviación en el subcontinente indio.
Según los investigadores de seguridad Aleksandar Milenkoski y Julian-Ferdinand Vögele, los actores de amenazas han mostrado una tendencia perturbadora al usar ransomware para obtener ganancias financieras, interrumpir operaciones, atribuir incorrectamente acciones o eliminar evidencia. Esto no solo permite el sabotaje, sino que también ayuda a encubrir las huellas de los actores de amenazas.
Se ha documentado que ChamelGang es un grupo vinculado a China que busca inteligencia, robo de datos, ganancias financieras y operaciones de denegación de servicio (DoS), y opera con una variedad de herramientas como BeaconLoader, Cobalt Strike, AukDoor y DoorMe, y una cepa de ransomware llamada CatB.
Estos ataques también han empleado una versión actualizada de BeaconLoader para entregar Cobalt Strike y realizar actividades de reconocimiento. Además, el malware personalizado utilizado por ChamelGang también ha sido vinculado a otros grupos de amenazas chinos. Por otro lado, el segundo conjunto de intrusiones implica el uso de Jetico BestCrypt y Microsoft BitLocker en ciberataques en América del Norte, América del Sur y Europa.
Las tácticas observadas son consistentes con las atribuidas a un grupo chino denominado APT41 y un actor norcoreano conocido como Andariel, gracias a la presencia de herramientas como la shell web China Chopper y una puerta trasera conocida como DTrack. Esto permite a países adversarios reclamar la negación plausible al atribuir acciones a actores ciberdelincuentes independientes.
En resumen, el informe destaca que el uso de ransomware por grupos de amenazas de ciberespionaje difumina las líneas entre el cibercrimen y el ciberespionaje, brindando ventajas estratégicas y operativas a los adversarios.
Vía The Hacker News
