Blog

Los operadores detrás de Maui Ransomware estarían vinculados con el grupo APT Norcoreano «Andariel»

El día de hoy, 9 de agosto del presente año, la empresa rusa de ciberseguridad y prestación de servicios tecnológicos, Kaspersky, vinculó que las actividades y operaciones llevadas a cabo por la banda de Ransomware Maui, tendría un peculiar vinculo con el grupo APT Andariel, un grupo de hackers patrocinados y respaldados por Corea del Norte, algunos expertos consideran que Andariel, es una división del popular grupo APT Lazarus. Responsables de realizar diferentes actividades ilícitas, blanqueo de dinero, robo de criptomonedas, etc.

También, el grupo APT Andariel, es muy conocido por llevar a cabo actividades malintencionadas para generar ingresos y discordia en Corea del Sur, su principal país enemigo, además de Estados Unidos y Japón, principalmente.

Andariel (también conocido como Stonefly) ha sido vinculado a diferentes ciberataques con finalidades de espionaje, robo de datos, borrado de datos y operaciones para aumentar los ingresos del gobierno de Corea del Norte. De hecho, Andariel ha sido vinculado a ataques de ransomware en el pasado, dirigidos a empresas surcoreanas los medios de construcción, fabricación y servicios de Internet. Se tiene registros de que el grupo ha estado operando desde al menos 2015, apuntando a organizaciones estatales, gubernamentales, del ejército y proveedores de servicios financieros.

El mes pasado, Andariel fue uno de los grupos APTs patrocinados por Corea del Norte, que el Departamento de Estado de Estados Unidos anunció recompensas de hasta $10 millones de dólares por información sobre los operadores.

Se tiene datos de que el ransomware Maui comenzó los ataques en abril de 2021 (basado en marcas de tiempo de compilación), manteniendo un aparente enfoque en las organizaciones de atención médica en los Estados Unidos. El FBI y el CISA han emitido previamente advertencias sobre el ransomware Maui, compartiendo indicadores de compromiso que apuntaban a los actores de amenazas de Corea del Norte.

El último informe de Kaspersky, se basa en las revelaciones anteriores y presenta evidencia de un ataque anterior de Maui contra una empresa de vivienda japonesa y posteriores ataques no atribuidos en India, Rusia y Vietnam.

Imagen: Securelist (Kaspersky)

Según Kaspersky, la víctima japonesa fue golpeada por el malware DTrack, pocas horas antes del cifrado, mientras que el análisis de registro posterior, reveló la presencia de la herramienta «3Proxy» en la red de la empresa meses antes.

DTrack (también conocido como Preft) es un malware modular especializado en el robo de datos y la exfiltración HTTP a través de comandos de Windows. 3Proxy es una utilidad gratuita de servidor proxy de código abierto observada en varias campañas pasadas de Andariel.

La variante particular de DTrack utilizada en los ataques contra las empresas japonesas, rusas, indias y vietnamitas presenta una similitud de código del 84% con las muestras directamente vinculadas a operaciones anteriores de Andariel. ¿Curioso, no?

Además, los métodos iniciales de compromiso en la red observados en los ataques, también presentan características típicas de Andariel, como la explotación de servidores Weblogic vulnerables (CVE-2017-10271). Kaspersky señala que sus analistas han visto exploits y métodos de compromiso idénticos utilizados por Andariel a mediados de 2019.

Si bien lo anterior no es suficiente para la atribución concreta, el grupo APT y la operación de ransomware parecen tener una conexión, lo que podría ayudar con la detección temprana y la prevención de ataques relacionados a este grupo de Ransomware y/o APT.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required