GRUPO DE HACKERS CHINOS ATACAN CON RANSOMWARE A MUCHAS EMPRESAS ¿COMO LO HACEN?

Las actividades de Amenazas Persistentes Avanzadas son uno de los principales problemas en términos de ciberseguridad que enfrenta el mundo. El grupo identificado como APT27 lleva activo prácticamente una década completa y es popular por sus avanzadas campañas de ciberespionaje en contra de cientos de organizaciones públicas y privadas de todo el mundo.

Este grupo, también identificado como Emissary Panda, Bronze Union o Lucky Mouse, ha comprometido las operaciones de contratistas de defensa, fabricantes de drones, compañías de servicios financieros, entre otras organizaciones complejas.

No obstante, los más recientes análisis sobre este grupo indican que han enfocado sus esfuerzos en los ataques con motivaciones económicas empleando infecciones de ransomware. Durante un incidente reciente, expertos detectaron el uso de la herramienta BitLocker de Windows para cifrar los servidores de una organización en un ataque similar a la campaña DRBControl, detectada a inicios de 2020 y supuestamente desplegada por APT27 y Winnti, otro grupo de hacking chino.

Los operadores de DRBControl destacaban por el uso de backdoors en contra de casas de apuestas, además de usar un webshell ASPXSpy: “Creemos que existen vínculos extremadamente fuertes con APT27/Emissary Panda, en términos de similitudes de código y TTP”, mencionaba el reporte de la firma de seguridad Profero.

Al parecer, las organizaciones atacadas son infectadas a través de un proveedor de terceros que también fue comprometido por este grupo de hacking. Los expertos aún siguen analizando por qué los hackers usan BitLocker, una herramienta nativa, para cifrar los sistemas afectados.

Los expertos señalan que APT27 no era un grupo enfocado en obtener ingresos derivados de estos ataques, por lo que el despliegue de campañas de ransomware parece realmente inusual. No obstante, esto podría explicarse por el contexto económico por el que atraviesa China a consecuencia de la pandemia; con menos recursos recibidos de organizaciones en Asia, es posible que el grupo haya visto en los ataques de ransomware una fuente de ingresos constantes. Algunos expertos también han vinculado las recientes infecciones de ransomware Polar con APT27, aunque aún falta evidencia para emitir un juicio certero.

Fuente: https://www.cibertip.com/ciberseguridad/grupos-de-hacking-chinos-estan-utilizando-ransomware-para-atacar-empresas-como-lo-hacen/

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: