Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El robo cibernético norcoreano de más de $ 100 millones atribuido a APT38

El sistema de transacciones bancarias SWIFT está en el centro de otra importante campaña de robo cibernético. Esta vez, el robo se atribuyó a un grupo de amenaza persistente avanzado que supuestamente estaba respaldado por el gobierno de Corea del Norte.

Los analistas de FireEye dijeron que pudieron descubrir la actividad de APT38 debido a la reciente acusación estadounidense del hacker norcoreano Park Jin Hyok. Sin embargo, a pesar de las similitudes en el método y el malware con la amenaza persistente avanzada de Park’s Lazarus Group, FireEye dijo que considerar APT38 separado de Lazarus «proporcionará a los defensores una comprensión más enfocada del adversario y les permitirá priorizar recursos y habilitar la defensa».

En un informe sobre la campaña de robo cibernético de Corea del Norte, FireEye detalló los ataques del grupo contra «más de 16 organizaciones en al menos 11 países diferentes, a veces simultáneamente, desde al menos 2014». Los analistas de FireEye incluyeron a Nalani Fraser, gerente del equipo de análisis avanzado de FireEye Intelligence; Jacqueline O’Leary, analista senior de inteligencia de amenazas; Vincent Cannon, analista asociado; y Fred Plan, analista senior.

Los analistas describieron el APT38 como motivado financieramente y respaldado por el gobierno de Corea del Norte, pero inusual en su metodología.

«En lugar de simplemente obtener accesos y moverse para transferir fondos lo más rápido posible, se cree que APT38 opera de manera más similar a una operación de espionaje, realizando un reconocimiento cuidadoso dentro de las instituciones financieras comprometidas y equilibrando los objetivos motivados financieramente con el aprendizaje de los sistemas internos», escribieron los analistas. en su informe. «APT38 ha adoptado un enfoque calculado, lo que les permite afinar sus tácticas, técnicas y procedimientos con el tiempo mientras eluden la detección».

Los analistas dijeron que las campañas de robo cibernético de Corea del Norte se «caracterizaron por una planificación prolongada [and] períodos prolongados de acceso a entornos de víctimas comprometidos «. APT38 permaneció en las redes de víctimas durante un promedio de 155 días y se encontró habitando una red de víctimas durante casi dos años.

Según la investigación de FireEye, los actores de la amenaza apuntaron a los proveedores con acceso al sistema de transacciones bancarias SWIFT e intentaron robar un total de $ 1.1 mil millones, pero calcularon una estimación conservadora de los ataques exitosos del grupo en más de $ 100 millones.

Aunque APT38 usó la red SWIFT para robar dinero, los investigadores de FireEye tuvieron cuidado de señalar que nunca observaron que los actores maliciosos «violaran la integridad del sistema SWIFT en sí».

En cambio, el grupo usó abrevaderos y fallas de Apache Struts 2 sin parchear para obtener acceso a las redes. Implementaron malware para recolectar credenciales, insertar transacciones SWIFT fraudulentas, alterar el historial de transacciones y transferir fondos a otros bancos.

Los analistas de FireEye dijeron que la campaña de robo cibernético de Corea del Norte también fue única porque APT38 «no tenía miedo de destruir agresivamente las pruebas o las redes de víctimas como parte de sus operaciones». Esta destrucción fue un esfuerzo por evitar la detección y encubrir los esquemas de lavado de dinero.

Según FireEye, APT38 sigue siendo «activo y peligroso para las instituciones financieras de todo el mundo».

A pesar de la evidencia que presentó FireEye vinculando APT38 a Corea del Norte, Ilia Kolochenko, directora ejecutiva de High-Tech Bridge, con sede en Ginebra, señaló por correo electrónico que «la atribución sigue siendo una tarea de extrema complejidad, « y agregó que «los ciberdelincuentes utilizan metodologías altamente creativas para incriminar a terceros inocentes (incluidos los gobiernos) y ocultar la verdadera fuente del ataque.

«Los grupos modernos de delitos cibernéticos tienen acceso a politólogos, expertos legales y financieros capacitados. Desarrollan meticulosamente escenarios de ataque bien pensados ​​para obstaculizar la investigación técnica, lo que hace que la atribución confiable sea prácticamente imposible», dijo Kolochenko. «Además, a la luz de las tensiones políticas mundiales actuales, la gente tiende a culpar rápidamente a sus rivales de los ciberataques a gran escala antes de finalizar una investigación. Por lo tanto, me abstendría de sacar conclusiones rápidas y me concentraría en desarrollar capacidades de defensa, respuesta y forense en ciberseguridad sostenibles. . «

También te puede interesar...

¿Cómo soluciono los problemas de capacidad en VMware VDP?

vSphere Data Protection (VDP) de VMware es un dispositivo virtual sin agente que incluye desduplicación para una utilización eficiente del almacenamiento de respaldo, maneja el seguimiento de bloques modificados para acelerar los ciclos de respaldo,

Cómo redactar un acuerdo de nivel de servicio de TI

Escribir un acuerdo de nivel de servicio (SLA) de TI es importante si está implementando una línea de negocio basada en servicios, como los servicios gestionados. Mientras que muchos revendedores pueden haber actuado anteriormente solo

¿Qué es el control de cambios?

¿Qué es el control de cambios? El control de cambios es un enfoque sistemático para gestionar todos los cambios realizados en un producto o sistema. El propósito es garantizar que no se realicen cambios innecesarios,

¿Qué es el programa para socios de Dell EMC?

El programa de socios de Dell EMC es un programa de socios de canal internacional que proporciona a los socios recursos de marketing, ventas y desarrollo comercial. El programa de socios de Dell EMC se

¿Qué es fragmentación?

¿Qué es fragmentación? Sharding es un tipo de partición de base de datos que separa grandes bases de datos en partes más pequeñas, más rápidas y más fáciles de administrar. Estas partes más pequeñas se

¿Qué es la defensa en profundidad?

La defensa en profundidad es el uso coordinado de múltiples contramedidas de seguridad para proteger la integridad de los activos de información en una empresa. La estrategia se basa en el principio militar de que

¿Qué es la escucha en las redes sociales?

La escucha de redes sociales, también conocida como monitoreo de redes sociales, es el proceso de identificar y evaluar lo que se dice sobre una empresa, individuo, producto o marca en Internet. Las conversaciones en

¿Qué es la carga lateral? – Definición de Krypton Solid

Sideloading es la instalación de una aplicación en un dispositivo móvil sin utilizar el método oficial de distribución de aplicaciones del dispositivo. La descarga lateral funciona de manera diferente en diferentes plataformas móviles. Para habilitar

Oracle Database 21c trae blockchain y JavaScript

Oracle dijo que su base de datos Oracle 21c está disponible en general hoy, con nuevas características agregadas a la plataforma de base de datos ampliamente implementada, incluidas tablas de cadena de bloques y JavaScript.

Trabajar con robots: acostúmbrate

Tom Davenport no respalda a los robots en el lugar de trabajo. El renombrado estudioso de la analítica y la gestión del conocimiento utilizó un trío de adjetivos poco halagadores para describir las máquinas: esnob,

¿Qué es agbot (robot agrícola)?

Un agbot, también llamado agribot, es un robot autónomo que se utiliza en la agricultura para ayudar a mejorar la eficiencia y reducir la dependencia del trabajo manual. Se espera que las granjas futuras sean

Temas de SQL Server – SearchSQLServer

La página de temas de administración de Microsoft SQL Server proporciona recursos para la comunidad empresarial de SQL Server que incluyen los temas más recientes sobre rendimiento y ajuste de SQL Server, respaldo y recuperación,

Los 5 mejores comandos SCVMM PowerShell

Los administradores de TI que desean hacer que la administración con System Center Virtual Machine Manager de Microsoft sea más eficiente… Puede usar estos cinco comandos principales de SCVMM PowerShell para validar hosts y cuentas

Los sistemas ERP SaaS pueden incluir costos ocultos

La sabiduría convencional afirma que la nube es una opción de implementación más fácil y menos costosa para ERP. Si bien ciertamente hay ventajas en el enfoque, los sistemas ERP SaaS tienen sus propias dificultades

La CIE-10 conquista AHIMA – Health IT Pulse

No te lo tomes a mal. La Convención y Exhibición AHIMA 2015, celebrada a principios de esta semana en la sensual Nueva Orleans, fue una conferencia productiva. Unos pocos miles de profesionales de la gestión

Snyk, Accurics protege la infraestructura como código

El proveedor de software de seguridad nativo de la nube Snyk ha lanzado una nueva herramienta para ayudar a los desarrolladores a encontrar y solucionar problemas de configuración de infraestructura como código. El nuevo producto,

Cuestionario sobre las funciones imprescindibles de NGFW

Este cuestionario es parte de la lección de Security School de SearchSecurity.com, Evaluación de cortafuegos. Para obtener más materiales en esta lección, visite la página de la lección; para obtener lecciones adicionales sobre otros temas

Cuatro opciones de sistema de almacenamiento VDI

Las tiendas de VDI tienen muchas opciones de almacenamiento para mantenerse al día con las demandas de sus cargas de trabajo, incluidos arreglos all-flash, sistemas de almacenamiento híbrido y almacenamiento en caché basado en flash.

Deja un comentario