Севернокорейски хакери удрят здравеопазването с рансъмуер

Подкрепяни от държавата хакери от Северна Корея извършват атаки с цел получаване на откуп срещу здравни заведения и обекти от критичната инфраструктура, за да финансират незаконни дейности, предупредиха в съвместна консултация американските и южнокорейските агенции за киберсигурност и разузнаване.

Атаките, при които се изискват откупи в криптовалута в замяна на възстановяване на достъпа до криптираните файлове, са предназначени да подкрепят приоритетите и целите на Северна Корея на национално равнище.

Това включва „кибероперации, насочени към правителствата на Съединените щати и Южна Корея – конкретните цели включват информационните мрежи на Министерството на отбраната и мрежите на членовете на отбранителната индустриална база“, посочват органите.

Хакерите от  Северна Корея от години са свързани с операции по шпионаж, финансова кражба и криптоджакинг, включително с прословутите атаки с рансъмуер WannaCry от 2017 г., които заразиха стотици хиляди машини, разположени в над 150 държави.

Оттогава насам севернокорейските държавни екипи се занимават с множество щамове на рансъмуер като VHD, Maui и H0lyGh0st, за да генерират постоянен поток от незаконни приходи за засегнатия от санкциите режим.

Освен че снабдява инфраструктурата си с криптовалута, получена чрез престъпната си дейност, противникът е известен със създаването на фалшиви личности, функциониране под идентичността на чуждестранни филиали на трети страни, използване на посредници и VPN, за да прикрие произхода си.

Веригите за атака, организирани от хакерския екип, включват използване на известни пропуски в сигурността на Apache Log4j, SonicWall и TerraMaster NAS устройства (например CVE 2021-44228, CVE-2021-20038 и CVE-2022-24990), за да се получи първоначален достъп, последван от разузнаване, странично придвижване и внедряване на ransomware.

В допълнение към използването на частно разработен рансъмуер, извършителите са наблюдавани да използват готови инструменти като BitLocker, DeadBolt, ech0raix, Jigsaw и YourRansom за криптиране на файлове, да не говорим, че дори се представят за други групи за рансъмуер като REvil.

Включването на DeadBolt и ech0raix е забележително, тъй като за първи път правителствените агенции официално свързват щамовете на рансъмуер, които се отличават с това, че многократно се насочват към устройства QNAP NAS, с конкретна противникова група.

Един от алтернативните методи, използвани за разпространение на зловредния софтуер, е чрез троянски файлове на приложение за съобщения, наречено X-Popup, при атаки, насочени към малки и средни болници в Южна Корея.

Като смекчаващи мерки агенциите препоръчват на организациите да прилагат принципа на най-малките привилегии, да деактивират ненужните интерфейси за управление на мрежови устройства, да налагат многослойна мрежова сегментация, да изискват устойчиви на фишинг контроли за удостоверяване и да поддържат периодични резервни копия на данните.

Предупреждението идва във връзка с нов доклад на ООН, в който се посочва, че през 2022 г. севернокорейски хакери са откраднали рекордни виртуални активи, чиято стойност се оценява на между 630 млн. и над 1 млрд. долара.

В доклада, видян от Асошиейтед прес, се казва, че севернокорейците са използвали все по-усъвършенствани техники, за да получат достъп до цифрови мрежи, участващи в киберфинансирането, и да откраднат информация от правителства, компании и физически лица, която би могла да бъде полезна за ядрените и балистичните програми на Северна Корея.

Освен това КНДР призова Kimsuky, Lazarus Group, и Andariel, които са част от Главното разузнавателно бюро (ГРБ), да продължат да се насочват към жертви с цел създаване на приходи и извличане на информация, ценна за държавата отшелник.

Източник: The Hacker News

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
Бъдете социални
Още по темата
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
15/03/2023

Федералната агенция на САЩ ...

Миналата година уеб сървърът на Microsoft...
13/03/2023

Шпионират ли ви през вашия ...

Новият зловреден софтуер HiatusRAT се насочва...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!