A Microsoft associou um grupo de hackers norte-coreano que ela monitora, conhecido como Moonstone Sleet, a ataques de ransomware FakePenny, que resultaram em pedidos de resgate de milhões de dólares.
Embora as táticas, técnicas e procedimentos (TTPs) desse grupo de ameaças tenham grande semelhança com as de outros atacantes norte-coreanos, ele também adotou lentamente métodos de ataque inovadores, além de sua própria infraestrutura e ferramentas personalizadas.
Anteriormente monitorado como Storm-17, Moonstone Sleet foi observado atacando alvos financeiros e de ciberespionagem usando software trojanizado (por exemplo, PuTTY), jogos maliciosos e pacotes npm, carregadores de malware personalizados e falsas empresas de desenvolvimento de software (por exemplo, StarGlow Ventures, C.C. Waterfall) estabelecidas para interagir com possíveis vítimas no LinkedIn, Telegram, redes de freelancers ou via email.
"Quando a Microsoft detectou pela primeira vez a atividade do Moonstone Sleet, o ator demonstrou fortes sobreposições com Diamond Sleet, reutilizando extensivamente código de malware conhecido do Diamond Sleet como Comebacker e usando técnicas bem estabelecidas do Diamond Sleet para ganhar acesso a organizações, como a utilização de mídias sociais para entregar software trojanizado ", disse a Microsoft.
No entanto, Moonstone Sleet rapidamente passou para sua própria infraestrutura e ataques exclusivos.
Posteriormente, a Microsoft observou Moonstone Sleet e Diamond Sleet conduzindo operações simultâneas, com o Diamond Sleet ainda utilizando grande parte de seu artesanato conhecido e estabelecido.
Os atores de ameaças foram vistos pela primeira vez implantando uma nova variante customizada do ransomware FakePenny em abril, dois meses após violarem a rede da vítima.
No entanto, diferentemente de ataques de ransomware anteriores coordenados por hackers estaduais norte-coreanos, nos quais as vítimas eram solicitadas a pagar $100.000, o resgate exigido pelos atacantes do Moonstone Sleet foi de $6,6 milhões em BTC.
A avaliação da Microsoft sobre este ataque concluiu que a motivação primária do Moonstone Sleet ao implantar o ransomware era o ganho financeiro.
O envolvimento prévio do grupo em ataques de ciberespionagem sugere que seus ataques são focados em gerar receita e coletar inteligência.
Desde que foi observado pela primeira vez, o grupo tem como alvo múltiplos segmentos da indústria, incluindo indivíduos e organizações nos setores de software e tecnologia da informação, educação e base industrial de defesa.
Moonstone Sleet não é o primeiro grupo de hackers norte-coreano a ser ligado a ataques de ransomware nos últimos anos.
Por exemplo, os governos dos EUA e do Reino Unido culparam oficialmente o Grupo Lazarus pelo surto de ransomware WannaCry que devastou centenas de milhares de computadores em todo o mundo em maio de 2017.
Anos depois, em julho de 2022, a Microsoft e o FBI também vincularam hackers norte-coreanos à operação de ransomware Holy Ghost e aos ataques de ransomware Maui contra organizações de saúde, respectivamente.
"A diversidade de táticas do Moonstone Sleet é notável não só pela sua eficácia, mas pela forma como elas evoluíram das de vários outros atores de ameaças norte-coreanos ao longo de muitos anos de atividade para atender aos objetivos cibernéticos da Coreia do Norte", acrescentou a Microsoft.
Além disso, a adição de ransomware ao repertório do Moonstone Sleet, assim como outro ator de ameaças norte-coreano, Onyx Sleet, pode sugerir que ele está expandindo seu conjunto de capacidades para possibilitar operações disruptivas.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...