EE.UU. acusa a presunto pirata informático estatal norcoreano por ataques de ransomware a hospitales
Un hacker que trabaja para el gobierno de Corea del Norte ha sido acusado por su presunto papel en ataques de ransomware a hospitales y empresas de atención médica estadounidenses.
El miércoles se emitió una orden de arresto federal contra Rim Jong Hyok, presunto miembro de la Unidad Andariel dentro de la agencia de inteligencia del país, la Oficina General de Reconocimiento (RGB).
Varias agencias militares estadounidenses identificaron a Rim como el culpable de varios ataques de ransomware con la variante Maui que se llevaron a cabo en 2021 y 2022. Al menos uno de los ataques tuvo como objetivo un hospital de Kansas, donde se emitió la orden de arresto contra Rim. Los ataques cifraron computadoras y servidores utilizados para pruebas médicas o registros médicos electrónicos e interrumpieron los servicios de atención médica.
El FBI dijo que los investigadores encontraron que Rim y otros actores de Andariel victimizaron a cinco proveedores de atención médica, cuatro contratistas de defensa con sede en Estados Unidos, dos bases de la Fuerza Aérea de Estados Unidos y la Oficina del Inspector General de la Administración Nacional de Aeronáutica y del Espacio.
Rim enfrenta cargos por conspiración para cometer piratería informática y lavado de dinero. Altos funcionarios del FBI y del Departamento de Justicia dijeron a Recorded Future News que Rim es la única persona de la que tenían “pruebas suficientes para acusar en este momento”, y señalaron que si obtienen más pruebas de otros perpetradores, los acusarán.
Agregaron que Rim utilizó los rescates para comprar servidores que luego fueron utilizados en otros ataques de espionaje cibernético contra organizaciones gubernamentales y clientes en Estados Unidos, Corea del Sur y China.
Un funcionario del Departamento de Justicia dijo a los periodistas el jueves que fue posible recuperar más de 600.000 dólares en criptomonedas obtenidas a través de los ataques del ransomware de Maui y que planea devolver los fondos a las organizaciones víctimas. También pudieron derribar la infraestructura utilizada por los piratas informáticos y confiscar cuentas en varias plataformas relacionadas con los ataques.
El Departamento de Estado también ofreció una recompensa de 10 millones de dólares por información sobre Rim, de quien, según el gobierno estadounidense, la última vez que se supo de él fue en Corea del Norte.
Ataques de Andariel
Junto con la acusación, las agencias militares y policiales de Estados Unidos, el Reino Unido y Corea del Sur publicaron el jueves avisos sobre las operaciones de Andariel, que según dijeron ha sido un actor clave en los esfuerzos de larga data de Corea del Norte para robar información confidencial sobre la fabricación de armas.
“En una operación de intrusión informática que comenzó en noviembre de 2022, los actores cibernéticos maliciosos piratearon un contratista de defensa con sede en EE. UU. del que extrajeron más de 30 gigabytes de datos, incluida información técnica no clasificada sobre material utilizado en aviones y satélites militares, gran parte del cual era de 2010 o antes”, dijo el Departamento de Estado.
El FBI y otras agencias dijeron que Andariel, con sede en la Tercera Oficina del RGB en Pyongyang y Sinuiju, ha atacado repetidamente “entidades de defensa, aeroespaciales, nucleares y de ingeniería para obtener información técnica sensible y clasificada y propiedad intelectual para avanzar en los programas y ambiciones militares y nucleares del régimen”.
Paul Chichester, director de operaciones del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), dijo que la operación expuesta el jueves “muestra hasta dónde están dispuestos a llegar los actores patrocinados por el estado de la RPDC para llevar adelante sus programas militares y nucleares”.
El grupo es una “amenaza constante para varios sectores industriales en todo el mundo”, dijo el NCSC, y continúa actualizando sus tácticas y habilidades en ataques a varios países, incluidos Estados Unidos, Corea del Sur, Japón e India.
Los piratas informáticos continúan utilizando ataques de phishing y vulnerabilidades como Log4j para violar los sistemas y exfiltrar datos.
“La información analizada —como especificaciones de contratos, listas de materiales, detalles de proyectos, dibujos de diseño y documentos de ingeniería— tiene aplicaciones militares y civiles y lleva a las agencias autoras a evaluar una de las principales responsabilidades del grupo como la satisfacción de los requisitos de recopilación para los programas nucleares y de defensa de Pyongyang”, explicaron las agencias.
En algunos casos, las agencias estadounidenses vieron a los actores de Andariel lanzar ataques de ransomware y llevar a cabo operaciones de ciberespionaje el mismo día. En otros casos, el ransomware se utilizó junto con ataques de ciberespionaje contra la misma organización.
El grupo fue sancionado previamente en 2019 por el Departamento del Tesoro de Estados Unidos, que dijo que el grupo “ejecuta constantemente delitos cibernéticos para generar ingresos y ataca al gobierno y la infraestructura de Corea del Sur para recopilar información y crear desorden”.
Un alto funcionario del Departamento de Justicia dijo que una conclusión clave del caso es que los estados-nación ahora están usando ransomware para enriquecerse y financiar otras actividades.
“Otra conclusión es que Corea del Norte genera muchas noticias por sus acciones en materia de criptomonedas, pero este es un buen recordatorio de que también están involucrados en el espionaje cibernético, al igual que otros actores de estados nacionales, y el ransomware es solo una herramienta en la caja de herramientas de Corea del Norte para financiar más operaciones de espionaje cibernético destinadas a obtener secretos para ayudar a promover sus objetivos militares y de programas nucleares más amplios”, dijeron.
“Los beneficios de estas actividades son simbióticos. Sin la capacidad de llevar a cabo estas operaciones de ransomware y recibir pagos, sería difícil que la RPDC continuara con otras operaciones cibernéticas”.
El aviso contenía contribuciones de Microsoft y Mandiant, que publicaron su propia alerta sobre Andariel el jueves y etiquetaron al grupo como APT45.
Michael Barnhart, analista principal de Mandiant, dijo que Andariel tiene antecedentes de atacar a empresas gubernamentales y de defensa en todo el mundo, pero la acusación “muestra que los grupos amenazantes norcoreanos también representan una amenaza grave para la vida cotidiana de los ciudadanos y no pueden ser ignorados ni desestimados”.
“Su ataque a los hospitales para generar ingresos y financiar sus operaciones demuestra un enfoque incansable en el cumplimiento de su misión prioritaria de recopilación de inteligencia, independientemente de las posibles consecuencias que pueda tener sobre las vidas humanas”, dijo.
“Para la comunidad internacional, que a menudo se enfrenta en silencio a amenazas similares, estas acusaciones ofrecen la seguridad de que se están realizando esfuerzos de colaboración para abordar la cuestión”.
Fuente:therecord