Des pirates informatiques nord-coréens soutenus par l’État mènent des attaques de rançongiciels contre des établissements de santé et des infrastructures essentielles pour financer des activités illicites, ont averti les agences de cybersécurité et de renseignement américaines et sud-coréennes dans un avis conjoint.

Les attaques, qui exigent des rançons de crypto-monnaie en échange de la récupération de l’accès aux fichiers cryptés, sont conçues pour soutenir les priorités et les objectifs de la Corée du Nord au niveau national.

Cela inclut « les cyberopérations ciblant les gouvernements des États-Unis et de la Corée du Sud – des cibles spécifiques incluent les réseaux d’information du ministère de la Défense et les réseaux membres de la base industrielle de la défense », ont déclaré les autorités.

Les acteurs de la menace avec la Corée du Nord sont liés à des opérations d’espionnage, de vol financier et de cryptojacking depuis des années, y compris les tristement célèbres attaques de ransomware WannaCry de 2017 qui ont infecté des centaines de milliers de machines situées dans plus de 150 pays.

Depuis lors, les équipes des États-nations nord-coréens se sont essayées à plusieurs souches de ransomwares telles que VHD, Maui et H0lyGh0st pour générer un flux constant de revenus illégaux pour le régime frappé de sanctions.

En plus de se procurer son infrastructure grâce à la crypto-monnaie obtenue via ses activités criminelles, l’adversaire est connu pour créer de faux personnages, fonctionner sous des identités de sociétés étrangères affiliées tierces, employer des intermédiaires et utiliser des VPN pour dissimuler ses origines.

Les chaînes d’attaque montées par l’équipe de piratage impliquent l’exploitation de failles de sécurité connues dans les appliances Apache Log4j, SonicWall et TerraMaster NAS (par exemple, CVE 2021-44228, CVE-2021-20038 et CVE-2022-24990) pour obtenir un accès initial, suivi par la reconnaissance, le mouvement latéral et le déploiement de rançongiciels.

En plus d’utiliser des ransomwares développés en privé, les acteurs ont été observés en train d’utiliser des outils prêts à l’emploi comme BitLocker, DeadBolt, ech0raix, Jigsaw et YourRansom pour chiffrer des fichiers, sans parler même d’usurper l’identité d’autres groupes de ransomwares tels que REvil.

L’inclusion de DeadBolt et ech0raix est remarquable car c’est la première fois que les agences gouvernementales ont officiellement lié les souches de ransomwares, qui sont remarquables pour cibler à plusieurs reprises les appareils NAS QNAP, à un groupe d’adversaires spécifique.

L’une des méthodes alternatives utilisées pour distribuer le logiciel malveillant consiste à utiliser des fichiers troyens d’une application de messagerie appelée X-Popup lors d’attaques ciblant des hôpitaux de petite et moyenne taille en Corée du Sud.

Comme mesures d’atténuation, les agences recommandent aux organisations de mettre en œuvre le principe du moindre privilège, de désactiver les interfaces de gestion des périphériques réseau inutiles, d’appliquer une segmentation réseau multicouche, d’exiger des contrôles d’authentification résistants au phishing et de maintenir des sauvegardes de données périodiques.

L’alerte survient alors qu’un nouveau rapport des Nations Unies a révélé que des pirates nord-coréens avaient volé des actifs virtuels record estimés entre 630 millions de dollars et plus d’un milliard de dollars en 2022.

Le rapport, consulté par l’Associated Press, a déclaré que les acteurs de la menace utilisaient des techniques de plus en plus sophistiquées pour accéder aux réseaux numériques impliqués dans la cyberfinance et pour voler des informations aux gouvernements, aux entreprises et aux individus qui pourraient être utiles dans les programmes de missiles nucléaires et balistiques de la Corée du Nord. .

Il a en outre appelé Kimsuky, Lazarus Group et Andariel, qui font tous partie du Bureau général de reconnaissance (RGB), pour avoir continué à cibler les victimes dans le but de créer des revenus et de solliciter des informations précieuses pour le royaume ermite.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *