A Microsoft associou um grupo de hackers norte-coreano que ela monitora, conhecido como Moonstone Sleet, a ataques de ransomware FakePenny, que resultaram em pedidos de resgate de milhões de dólares.
Embora as táticas, técnicas e procedimentos (TTPs) desse grupo de ameaças tenham grande semelhança com as de outros atacantes norte-coreanos, ele também adotou lentamente métodos de ataque inovadores, além de sua própria infraestrutura e ferramentas personalizadas.
Anteriormente monitorado como Storm-17, Moonstone Sleet foi observado atacando alvos financeiros e de ciberespionagem usando software trojanizado (por exemplo, PuTTY), jogos maliciosos e pacotes npm, carregadores de malware personalizados e falsas empresas de desenvolvimento de software (por exemplo, StarGlow Ventures, C.C. Waterfall) estabelecidas para interagir com possíveis vítimas no LinkedIn, Telegram, redes de freelancers ou via email.
"Quando a Microsoft detectou pela primeira vez a atividade do Moonstone Sleet, o ator demonstrou fortes sobreposições com Diamond Sleet, reutilizando extensivamente código de malware conhecido do Diamond Sleet como Comebacker e usando técnicas bem estabelecidas do Diamond Sleet para ganhar acesso a organizações, como a utilização de mídias sociais para entregar software trojanizado ", disse a Microsoft.
No entanto, Moonstone Sleet rapidamente passou para sua própria infraestrutura e ataques exclusivos.
Posteriormente, a Microsoft observou Moonstone Sleet e Diamond Sleet conduzindo operações simultâneas, com o Diamond Sleet ainda utilizando grande parte de seu artesanato conhecido e estabelecido.
Os atores de ameaças foram vistos pela primeira vez implantando uma nova variante customizada do ransomware FakePenny em abril, dois meses após violarem a rede da vítima.
No entanto, diferentemente de ataques de ransomware anteriores coordenados por hackers estaduais norte-coreanos, nos quais as vítimas eram solicitadas a pagar $100.000, o resgate exigido pelos atacantes do Moonstone Sleet foi de $6,6 milhões em BTC.
A avaliação da Microsoft sobre este ataque concluiu que a motivação primária do Moonstone Sleet ao implantar o ransomware era o ganho financeiro.
O envolvimento prévio do grupo em ataques de ciberespionagem sugere que seus ataques são focados em gerar receita e coletar inteligência.
Desde que foi observado pela primeira vez, o grupo tem como alvo múltiplos segmentos da indústria, incluindo indivíduos e organizações nos setores de software e tecnologia da informação, educação e base industrial de defesa.
Moonstone Sleet não é o primeiro grupo de hackers norte-coreano a ser ligado a ataques de ransomware nos últimos anos.
Por exemplo, os governos dos EUA e do Reino Unido culparam oficialmente o Grupo Lazarus pelo surto de ransomware WannaCry que devastou centenas de milhares de computadores em todo o mundo em maio de 2017.
Anos depois, em julho de 2022, a Microsoft e o FBI também vincularam hackers norte-coreanos à operação de ransomware Holy Ghost e aos ataques de ransomware Maui contra organizações de saúde, respectivamente.
"A diversidade de táticas do Moonstone Sleet é notável não só pela sua eficácia, mas pela forma como elas evoluíram das de vários outros atores de ameaças norte-coreanos ao longo de muitos anos de atividade para atender aos objetivos cibernéticos da Coreia do Norte", acrescentou a Microsoft.
Além disso, a adição de ransomware ao repertório do Moonstone Sleet, assim como outro ator de ameaças norte-coreano, Onyx Sleet, pode sugerir que ele está expandindo seu conjunto de capacidades para possibilitar operações disruptivas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...