• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / APT norcoreanos en busca y captura por los EE.UU.

APT norcoreanos en busca y captura por los EE.UU.

31 julio, 2022 Por Luciano Miguel Tobaría Deja un comentario

El gobierno estadounidense ha decidido aumentar la recompensa ofrecida por cualquier tipo de información relacionada con los grupos de amenazas avanzadas persistentes (APT, Advanced Persistent Threat) norcoreanos. El gran impacto que están suponiendo las actividades ilícitas de estos grupos debido, entre otros, al robo de criptomonedas y al espionaje industrial ha motivado el incremento de las recomensas hasta los diez millones de dólares.

Recompensa de EEUU por información sobre APT.
Cartel de recompensa del Departamento de Estado de los EE.UU.

APT en busca y captura

Los grupos APT que más preocupan al Departamento de Estado son: Grupo Lazarus, Andariel, Bluenoroff (APT38) y Kimsuky, debido a que sospechan que están involucrados en ataques contra infraestructuras críticas de los EE.UU. o que se dedican a realizar numerosos fraudes en línea. La recompensa ya se ha doblado respecto a la ofrecida desde el pasado marzo de 2022. La información que buscan es tanto la relativa a los miembros de los grupos APT como a cualquier detalle sobre los mecanismos financieros usados por estos actores posiblemente patrocinados por el estado norcoreano.

El anuncio se ha producido una semana después de que el Departamento de Justicia revelara la incautación de medio millón de dólares en bitcoin de los piratas informáticos norcoreanos que extorsionaban a empresas mediante una nueva variante de ransomware conocida como Maui. Se sospecha que el Grupo Lazarus estaba detrás de esta campaña dirigida contra empresas de blockchain.

A principios de año, la firma Chainalysis publicó un informe en el que denunciaba siete ataques dirigidos contra plataformas de criptomonedas en 2021. Estimaban que el Grupo Lazarus podría estar detrás de estos ataques, habiéndose hecho con casi medio millón de dólares en el proceso.

Nota de prensa oficial

La nota de prensa fue publicada tanto en Twitter como en la web oficial del Departamento de Estado de los EE.UU. En la misma se informaba de que se valora cualquier pista que pueda ayudar a la identificación o localización de cualquier componente de los grupos APT norcoreanos. Para proteger las potenciales fuentes de información, han decido habilitar un canal de informes basado en Tor (Dark Web).

La justificación para para la elevada recompensa han sido las operaciones cibernéticas maliciosas dirigidas a la infraestructura crítica de los EE. UU. y las violaciones de la leyes antifraude. Entre estas acciones, han dado mayor importancia a las amenazas de extorsión (ransomware), accesos no autorizados a sistemas informáticos, robos de información y daños intencionados a sistemas informáticos.

REWARD! Up to $10M 💰for information on DPRK-linked malicious #cyber activity & #cyberthreat actors.

Got a tip on the Lazarus Group, Kimsuky, Bluenoroff, Andariel, or others? Send it to RFJ via our TOR-based tip line. https://t.co/oZCKNHU3fY pic.twitter.com/ONKHXwWiV1

— Rewards for Justice (@RFJ_USA) July 26, 2022
Anuncio en Twitter de la recompensa ofrecida del Departamento de Estado de los EE.UU.

Grupos APT

Los grupos APT son colectivos dedicados a realizar actividades de intrusión relacionadas entre sí por los equipos de investigación de seguridad informática. Se logra relacionar estas actividades maliciosas mediante metodologías analíticas aplicadas sobre los indicadores de compromiso. No obstante, algunos grupos tienen varios nombres asociados debido a que cada equipo de investigación puede haberlos identificado con un nombre diferente antes de sospechar que se podría tratar del mismo grupo APT. Dado que es complicado tener la certeza absoluta de la autoría de un ataque, los grupos APT pueden incluso superponerse parcialmente con los grupos designados por otras organizaciones de seguridad.

Grupo Lazarus

El Grupo Lazarus se sospecha que pertenece a la agencia de inteligencia norcoreana Reconnaissance General Bureau. Posiblemente lleven activos desde 2009, especializándose en el desarrollo de malware. Se le atribuyen, entre otros, el ataque de 2014 contra Sony en el que paralizaron los sistemas informáticos de la empresa y robaron una gran cantidad de datos privados. También se relaciona a este grupo con el desarrollo de malware empleado en otras campañas como la Operación Flame, la Operación 1Mission o la Operación Troy, entre otras. Se sospecha que el Grupo Lazarus puede aglutinar a otros grupos APT norcoreanos.

Andariel

Se trata de un grupo APT relacionado con el gobierno norcoreano que se cree activo desde 2009. Sus objetivos principales parecen ser agencias y organizaciones surcoreanas, a los que han dirigido tanto ataques destructivos como fraudes financieros (tanto bancarios como relacionados con criptomonedas). Los principales ciberataques que se les atribuyen son la Operación Black Mine, la Operación GoldenAxe y la Campaña Rifle. Se sospecha que podrían ser un subgrupo perteneciente al Grupo Lazarus, que trabaja para la agencia de inteligencia norcoreana Reconnaissance General Bureau.

Bluenoroff (APT38)

Este grupo APT parece centrarse en operaciones financieras, sospechándose que se trata de un grupo especializado de la agencia de inteligencia norcoreana Reconnaissance General Bureau. Posiblemente lleve activo desde 2014, enfocándose en ataques contra bancos, entidades finacieras, casinos, cajeros e intercambio de criptomonedas en más de 38 países de todo el mundo. Las operaciones más notables que se les atribuyen son el robo de cerca de 80 millones de dólares al Banco de Bangladesh en 2016 y los ataques de 2018 a los bancos Bancomext y Banco de Chile.

Kimsuky

Activo posiblemente desde 2012, este grupo APT parece tener como objetivos a entidades gubernamentales, think tanks y expertos de diversos campos, principalmente surcoreanos. La especialidad de este grupo parece ser la recolección de datos de inteligencia geopolítica. Se le atribuyen, entre otros, el ataque de 2014 contra Korea Hydro & Nuclear Power Co y las Operaciones Kabar Cobra y Smoke Screen de 2019. Se sospecha que podrían ser un subgrupo perteneciente al Grupo Lazarus, que trabaja para la agencia de inteligencia norcoreana Reconnaissance General Bureau.

Más información:

  • U.S. offers $10 million reward for information on North Korean hackers en The Hackers News.
  • Foreign malicious ciber activity against U.S. Critical Infrastructure en la página oficial del Departamento de Estado de EE.UU.
  • Listado de grupos APT en la web del Mitre.

Acerca de Luciano Miguel Tobaría

Luciano Miguel Tobaria Ha escrito 56 publicaciones.

  • View all posts by Luciano Miguel Tobaría →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Ataques

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...