Търсене
Close this search box.

Севернокорейски хакери удрят здравеопазването с рансъмуер

Подкрепяни от държавата хакери от Северна Корея извършват атаки с цел получаване на откуп срещу здравни заведения и обекти от критичната инфраструктура, за да финансират незаконни дейности, предупредиха в съвместна консултация американските и южнокорейските агенции за киберсигурност и разузнаване.

Атаките, при които се изискват откупи в криптовалута в замяна на възстановяване на достъпа до криптираните файлове, са предназначени да подкрепят приоритетите и целите на Северна Корея на национално равнище.

Това включва „кибероперации, насочени към правителствата на Съединените щати и Южна Корея – конкретните цели включват информационните мрежи на Министерството на отбраната и мрежите на членовете на отбранителната индустриална база“, посочват органите.

Хакерите от  Северна Корея от години са свързани с операции по шпионаж, финансова кражба и криптоджакинг, включително с прословутите атаки с рансъмуер WannaCry от 2017 г., които заразиха стотици хиляди машини, разположени в над 150 държави.

Оттогава насам севернокорейските държавни екипи се занимават с множество щамове на рансъмуер като VHD, Maui и H0lyGh0st, за да генерират постоянен поток от незаконни приходи за засегнатия от санкциите режим.

Освен че снабдява инфраструктурата си с криптовалута, получена чрез престъпната си дейност, противникът е известен със създаването на фалшиви личности, функциониране под идентичността на чуждестранни филиали на трети страни, използване на посредници и VPN, за да прикрие произхода си.

Веригите за атака, организирани от хакерския екип, включват използване на известни пропуски в сигурността на Apache Log4j, SonicWall и TerraMaster NAS устройства (например CVE 2021-44228, CVE-2021-20038 и CVE-2022-24990), за да се получи първоначален достъп, последван от разузнаване, странично придвижване и внедряване на ransomware.

В допълнение към използването на частно разработен рансъмуер, извършителите са наблюдавани да използват готови инструменти като BitLocker, DeadBolt, ech0raix, Jigsaw и YourRansom за криптиране на файлове, да не говорим, че дори се представят за други групи за рансъмуер като REvil.

Включването на DeadBolt и ech0raix е забележително, тъй като за първи път правителствените агенции официално свързват щамовете на рансъмуер, които се отличават с това, че многократно се насочват към устройства QNAP NAS, с конкретна противникова група.

Един от алтернативните методи, използвани за разпространение на зловредния софтуер, е чрез троянски файлове на приложение за съобщения, наречено X-Popup, при атаки, насочени към малки и средни болници в Южна Корея.

Като смекчаващи мерки агенциите препоръчват на организациите да прилагат принципа на най-малките привилегии, да деактивират ненужните интерфейси за управление на мрежови устройства, да налагат многослойна мрежова сегментация, да изискват устойчиви на фишинг контроли за удостоверяване и да поддържат периодични резервни копия на данните.

Предупреждението идва във връзка с нов доклад на ООН, в който се посочва, че през 2022 г. севернокорейски хакери са откраднали рекордни виртуални активи, чиято стойност се оценява на между 630 млн. и над 1 млрд. долара.

В доклада, видян от Асошиейтед прес, се казва, че севернокорейците са използвали все по-усъвършенствани техники, за да получат достъп до цифрови мрежи, участващи в киберфинансирането, и да откраднат информация от правителства, компании и физически лица, която би могла да бъде полезна за ядрените и балистичните програми на Северна Корея.

Освен това КНДР призова Kimsuky, Lazarus Group, и Andariel, които са част от Главното разузнавателно бюро (ГРБ), да продължат да се насочват към жертви с цел създаване на приходи и извличане на информация, ценна за държавата отшелник.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...
Бъдете социални
Още по темата
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
23/07/2024

Арестуваха тийнейджър за вр...

Властите възнамеряват да изпратят послание на...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!