Identificado el ataque del Grupo Lazarus, tras un fallo de seguridad operativa

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un ataque de ransomware dirigido a organizaciones del sector de la investigación, la medicina y la energía se ha atribuido a la amenaza persistente avanzada (APT) de Corea del Norte, Lazarus Group, después de que el actor de la amenaza cometiera un “error de seguridad operativa.”

Según el equipo de WithSecure, la nueva campaña puso de relieve varios “avances dignos de mención” en comparación con la actividad anterior del Grupo Lazarus.

Entre ellas, la utilización de nuevas infraestructuras, como el uso exclusivo de direcciones IP sin nombres de dominio, una versión modificada del backdoor Dtrack y una variante novedosa del malware Grease.

En cuanto al error de seguridad operativa mencionado por WithSecure, el equipo dijo que el atacante utilizó una de las 1.000 direcciones IP pertenecientes a Corea del Norte que se observó conectándose a una shell web controlada por el atacante.

“A pesar de los fallos de seguridad operativa, el atacante demostró una buena destreza y se las arregló para llevar a cabo acciones consideradas en puntos finales cuidadosamente seleccionados”, advirtió Tim West, jefe de inteligencia de amenazas de WithSecure.

“Incluso con tecnologías de detección de puntos finales precisas, las organizaciones necesitan considerar continuamente cómo responden a las alertas, y también integrar inteligencia de amenazas enfocada con cacerías regulares para proporcionar una mejor defensa en profundidad, particularmente contra adversarios capaces y hábiles.”

Según los informes, los atacantes lograron exfiltrar 100 GB de datos, pero WithSecure dijo que no llevaron a cabo ninguna acción destructiva en el punto de interrupción.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *