Entre 2021 y 2023, hackers con presuntos vínculos con China y Corea del Norte han lanzado ataques de ransomware contra sectores gubernamentales y de infraestructura crítica en todo el mundo, según ha publicado The Hacker news El ransomware es un tipo de software malicioso que bloquea el acceso a datos hasta que se pague un rescate.
Dos grupos principales están detrás de estos ataques. Uno de ellos es ChamelGang, asociado con China, y el otro está relacionado con actividades previas de hackers de China y Corea del Norte. Los ataques de ChamelGang han afectado a importantes instituciones como el Instituto de Ciencias Médicas de la India (AIIMS) y la presidencia de Brasil en 2022, así como a entidades gubernamentales y organizaciones de aviación en Asia en 2023.
Los expertos en ciberseguridad de SentinelOne y Recorded Future han señalado que estos hackers usan ransomware no solo para obtener dinero, sino también para causar disturbios y eliminar evidencias que puedan delatar su presencia. Destruyen artefactos y archivos importantes para ocultar sus huellas.
ChamelGang, conocido desde 2021, opera con varios objetivos, incluyendo la recopilación de inteligencia, el robo de datos, y ataques de denegación de servicio (DoS). Utilizan una variedad de herramientas avanzadas como BeaconLoader y Cobalt Strike, además de un tipo de ransomware llamado CatB, identificado en ataques en Brasil e India.
En 2023, estos hackers emplearon versiones actualizadas de sus herramientas para llevar a cabo reconocimientos y actividades maliciosas, como robar bases de datos importantes. También se ha observado que el malware personalizado de ChamelGang es compartido con otros grupos de hackers chinos, lo que indica una red de colaboración más amplia.
El segundo grupo de hackers ha utilizado herramientas como Jetico BestCrypt y Microsoft BitLocker para realizar ataques en América del Norte, América del Sur y Europa, afectando principalmente al sector manufacturero estadounidense. Las tácticas utilizadas son similares a las de los grupos chinos APT41 y los norcoreanos conocidos como Andariel.
A pesar de la complejidad de estos ataques, los expertos no descartan que también formen parte de un esquema cibercriminal más amplio, ya que los actores de estados-nación buscan beneficios financieros además de sus objetivos políticos y estratégicos. Los investigadores concluyen que el uso de ransomware por estos grupos de ciberespionaje confunde la línea entre cibercrimen y ciberespionaje, proporcionando ventajas estratégicas y operativas a los hackers.
Este tipo de actividades resalta la creciente amenaza de los ataques cibernéticos patrocinados por estados y la necesidad de mejorar las defensas cibernéticas para proteger infraestructuras críticas en todo el mundo.
Para más información puedes ver la noticia completa en: https://thehackernews.com/2024/06/chinese-and-n-korean-hackers-target.html Te animamos a compartir este boletín con tus colegas, familiares y amigos para promover entre todos una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.
Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRT-CV)