Grupo norte-coreano ScarCruft expande de espionagem para ataques de ransomware

Os hackers norte-coreanos ScarCruft migram da espionagem para o ransomware, usando malware VCD em ataques de phishing e mirando a Coreia do Sul com ferramentas avançadas. Descubra como esse novo malware marca uma mudança da espionagem para ataques cibernéticos com motivação financeira.

Um conhecido grupo de hackers norte-coreano, o ScarCruft , está mudando seus métodos, adicionando um novo tipo de ataque ao seu manual habitual de espionagem. Especialistas em segurança cibernética da empresa sul-coreana S2W divulgaram recentemente um relatório revelando que o ScarCruft agora está usando um novo ransomware chamado VCD.

Esta é uma mudança crítica, já que o grupo tradicionalmente se concentra em roubar informações de pessoas importantes e agências governamentais em países como Coreia do Sul, Japão e Rússia.

A campanha recente do grupo, realizada por um subgrupo chamado ChinopuNK, ocorreu em julho e utilizou e-mails de phishing para atingir pessoas na Coreia do Sul. Esses e-mails continham um arquivo malicioso disfarçado de atualização de códigos postais.

Uma vez aberto, esse arquivo infectava o computador da vítima com mais de nove tipos diferentes de malware, incluindo uma nova variante de um malware conhecido chamado ChillyChino e um backdoor escrito na linguagem de programação Rust . Entre eles estavam programas de roubo de informações como LightPeek e FadeStealer, bem como um backdoor chamado NubSpy, que permitia aos hackers controlar secretamente o computador.

Este backdoor é especialmente inteligente porque utiliza um serviço de mensagens em tempo real chamado PubNub para ocultar seu tráfego malicioso dentro da atividade normal da rede. Esta campanha também se destaca por incluir o novo ransomware VCD, que bloqueia os arquivos de uma pessoa e exige um resgate. A nota de resgate está disponível em inglês e coreano.

De acordo com o Centro de Análise e Inteligência de Ameaças (TALON) da S2W, essa nova abordagem sugere que o ScarCruft pode estar adicionando objetivos financeiros às suas atividades de espionagem. O grupo faz parte de uma rede maior de hackers norte-coreanos, conhecidos por gerar dinheiro para o governo do país, que enfrenta diversas sanções econômicas.

Um relatório das Nações Unidas do ano passado ( PDF ) chegou a afirmar que hackers norte-coreanos, incluindo grupos como Lazarus e Kimsuky , roubaram cerca de US$ 3 bilhões ao longo de seis anos.

Mayank Kumar , engenheiro de IA fundador da empresa DeepTempo, comentou sobre essa evolução, destacando como esses ataques estão se tornando mais complexos. Compartilhando seu comentário com o Hackread.com, Kumar disse que o uso de ransomware pelo ScarCruft, juntamente com suas ferramentas de espionagem habituais, demonstra uma nova tendência em que hacking apoiado por governos e táticas criminosas estão se fundindo.

“Grupos avançados de ameaças persistentes precisam expandir seus conjuntos de ferramentas e atenuar a linha entre espionagem e crime cibernético. Os defensores devem se preparar para campanhas em que o ransomware seja apenas um elemento em uma operação de várias etapas. A detecção adaptável de anomalias, baseada em aprendizado profundo, no tráfego de rede, eventos do sistema e logs de segurança, aliada a uma segmentação robusta, contenção rápida e visibilidade da atividade humana e automatizada do adversário, é essencial para combater essas ameaças combinadas”, sugeriu Kumar.