Οι χάκερ της Βόρειας Κορέας έχουν στοχεύσει κυβερνητικές επιχειρήσεις και οργανισμούς υγειονομικής περίθαλψης με επιθέσεις ransomware.
Ο αμερικανικός Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εξέδωσε προειδοποίηση σχετικά με τους κινδύνους των δραστηριοτήτων ransomware της Βόρειας Κορέας που στοχεύουν τη δημόσια υγεία και άλλους τομείς ζωτικής σημασίας υποδομών, περιγράφοντας λεπτομερώς τις πρόσφατες τακτικές, τεχνικές και διαδικασίες που χρησιμοποιούν για να αποκτήσουν πρόσβαση.
Δείτε επίσης: Indigo: Εκτός λειτουργίας το site λόγω κυβερνοεπίθεσης
Αυτή η κοινή έκθεση της NSA, του FBI, της CISA, του HHS των ΗΠΑ και της Εθνικής Υπηρεσίας Πληροφοριών της Δημοκρατίας της Κορέας και της Υπηρεσίας Αμυντικής Ασφάλειας αποκαλύπτει ότι τα χρήματα που μάζεψαν από τους εκβιασμούς χρησιμοποιήθηκαν για την υποστήριξη των πρωταρχικών στόχων και προθέσεων της κυβέρνησης της Βόρειας Κορέας.
Επίσης, η CISA αποκάλυψε ότι κακόβουλοι φορείς χρησιμοποίησαν δώδεκα ποικιλίες ransomware εναντίον συστημάτων υγειονομικής περίθαλψης της Νότιας Κορέας και των ΗΠΑ.
Για να αποκρύψουν την πηγή των επιχειρήσεών τους, η CISA ανακάλυψε ότι οι βορειοκορεατικοί φορείς απειλών χρησιμοποιούν ψεύτικα πρόσωπα και λογαριασμούς για να αποκτήσουν χρηματοδότηση για μια επίθεση και στη συνέχεια χρησιμοποιούν κρυπτονόμισμα που αποκτήθηκε παράνομα. Επιπλέον, συχνά αναζητούν στο εξωτερικό μεσάζοντες που μπορούν να βοηθήσουν στην περαιτέρω απόκρυψη της διαδρομής των χρημάτων.
Οι χάκερ αποκρύπτουν την προέλευσή τους χρησιμοποιώντας υπηρεσίες VPN και virtual private servers (VPS) ή διευθύνσεις IP που προέρχονται από ξένα κράτη.
Για να αποκτήσει κάποιος πρόσβαση σε ένα δίκτυο-στόχο, πρέπει να εκμεταλλευτεί τις ευπάθειές του και να αυξήσει τα προνόμιά του μέσα στο σύστημα.
Μεταξύ των ζητημάτων ασφαλείας που εκμεταλλεύτηκαν είναι το Log4Shell (CVE-2021-44228), ελαττώματα απομακρυσμένης εκτέλεσης κώδικα σε συσκευές SonicWall (CVE-2021-20038) και ελαττώματα αποκάλυψης κωδικού πρόσβασης διαχειριστή σε προϊόντα TerraMaster NAS (CVE-2022-24990).
Αφού παραβιάσουν ένα σύστημα, οι βορειοκορεάτες χάκερ χρησιμοποιούν shell commands και αναπτύσσουν payload για αναγνώριση δικτύου και πλευρική μετακίνηση για την απόκτηση περαιτέρω πληροφοριών.
Δείτε επίσης: Η ομάδα TA886 επιτίθεται σε στόχους υψηλής αξίας με το malware Screenshotter
Απειλές ransomware
Σύμφωνα με την υπηρεσία των Ηνωμένων Πολιτειών, οι χάκερ της Βόρειας Κορέας συνδέονται με τα στελέχη ransomware Maui και H0lyGh0st. Ωστόσο, έχουν επίσης αξιοποιήσει ήδη προσβάσιμα εργαλεία για την κρυπτογράφηση δεδομένων:
- BitLocker (abused of a legitimate tool)
- Deadbolt
- ech0raix
- GonnaCry
- Hidden Tear
- Jigsaw
- LockBit 2.0
- My Little Ransomware
- NxRansomware
- Ryuk
- YourRansom
Κατά το τελικό στάδιο της επίθεσης, οι επιτιθέμενοι θα ζητήσουν λύτρα σε κρυπτονόμισμα Bitcoin. Οι επιτιθέμενοι επικοινωνούν με τα θύματά τους μέσω λογαριασμών Proton Mail και συνήθως εκδίδουν προειδοποιήσεις για δημοσιοποίηση των κλεμμένων δεδομένων εάν δεν υπάρξει πληρωμή, ειδικά όταν στοχεύουν ιδιωτικές εταιρείες υγειονομικής περίθαλψης.
Δείτε επίσης: Μια επίθεση phishing μπορεί να κοστίσει στην επιχείρηση 1 εκατ. $
Για να μεγιστοποιήσουν την ασφάλεια, οι οργανισμοί υγειονομικής περίθαλψης πρέπει να υιοθετήσουν πολυάριθμα μέτρα προστασίας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) για την ασφάλεια των λογαριασμών, η απενεργοποίηση τυχόν αχρησιμοποίητων interface, η χρήση εργαλείων παρακολούθησης της κυκλοφορίας του δικτύου, η τήρηση των αρχών των ελάχιστων προνομίων και η εφαρμογή όλων των διαθέσιμων ενημερώσεων λογισμικού. Η CISA ενθαρρύνει σθεναρά αυτές τις διορθωτικές ενέργειες προκειμένου να διασφαλιστούν οι λογαριασμοί και να διασφαλιστεί η ασφάλεια των ευαίσθητων δεδομένων.
Πηγή πληροφοριών: bleepingcomputer.com
