El día de hoy, 9 de agosto del presente año, la empresa rusa de ciberseguridad y prestación de servicios tecnológicos, Kaspersky, vinculó que las actividades y operaciones llevadas a cabo por la banda de Ransomware Maui, tendría un peculiar vínculo con el grupo APT Andariel, un grupo de amenaza patrocinados y respaldados por Corea del Norte, algunos expertos consideran que Andariel, es una división del popular grupo APT Lazarus. Responsables de realizar diferentes actividades ilícitas, blanqueo de dinero, robo de criptomonedas, etc.
También, el grupo APT Andariel, es muy conocido por llevar a cabo actividades malintencionadas para generar ingresos y discordia en Corea del Sur, su principal país enemigo, además de Estados Unidos y Japón, principalmente.
Andariel (también conocido como Stonefly) ha sido vinculado a diferentes ciberataques con finalidades de espionaje, robo de datos, borrado de datos y operaciones para aumentar los ingresos del gobierno de Corea del Norte. De hecho, Andariel ha sido vinculado a ataques de ransomware en el pasado, dirigidos a empresas surcoreanas los medios de construcción, fabricación y servicios de Internet. Se tiene registros de que el grupo ha estado operando desde al menos 2015, apuntando a organizaciones estatales, gubernamentales, del ejército y proveedores de servicios financieros.
El mes pasado, Andariel fue uno de los grupos APTs patrocinados por Corea del Norte, que el Departamento de Estado de Estados Unidos anunció recompensas de hasta $10 millones de dólares por información sobre los operadores.
Se tiene datos de que el ransomware Maui comenzó los ataques en abril de 2021 (basado en marcas de tiempo de compilación), manteniendo un aparente enfoque en las organizaciones de atención médica en los Estados Unidos. El FBI y el CISA han emitido previamente advertencias sobre el ransomware Maui, compartiendo indicadores de compromiso que apuntaban a los actores de amenazas de Corea del Norte.
El último informe de Kaspersky, se basa en las revelaciones anteriores y presenta evidencia de un ataque anterior de Maui contra una empresa de vivienda japonesa y posteriores ataques no atribuidos en India, Rusia y Vietnam.
Según Kaspersky, la víctima japonesa fue golpeada por el malware DTrack, pocas horas antes del cifrado, mientras que el análisis de registro posterior, reveló la presencia de la herramienta «3Proxy» en la red de la empresa meses antes.
DTrack (también conocido como Preft) es un malware modular especializado en el robo de datos y la exfiltración HTTP a través de comandos de Windows. 3Proxy es una utilidad gratuita de servidor proxy de código abierto observada en varias campañas pasadas de Andariel.
La variante particular de DTrack utilizada en los ataques contra las empresas japonesas, rusas, indias y vietnamitas presenta una similitud de código del 84% con las muestras directamente vinculadas a operaciones anteriores de Andariel. ¿Curioso, no?
Además, los métodos iniciales de compromiso en la red observados en los ataques, también presentan características típicas de Andariel, como la explotación de servidores Weblogic vulnerables (CVE-2017-10271). Kaspersky señala que sus analistas han visto exploits y métodos de compromiso idénticos utilizados por Andariel a mediados de 2019.
Si bien lo anterior no es suficiente para la atribución concreta, el grupo APT y la operación de ransomware parecen tener una conexión, lo que podría ayudar con la detección temprana y la prevención de ataques relacionados a este grupo de Ransomware y/o APT.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
