Северная Корея зарабатывает путём вымогательства денег у больниц по всему миру.
Северокорейские правительственные хакеры атакуют организации здравоохранения и различные компании по всему миру с целью получения денег для финансирования других своих операций. Об этом 9 февраля заявили США и Южная Корея.
По словам союзников, «неуказанная сумма доходов от операций с криптовалютой используется Северной Кореей для финансирования своих национальных целей, в том числе кибероперации против правительств США и Южной Кореи».
Согласно совместному отчёту CISA, ФБР, АНБ и нескольких оборонных и разведывательных агентств Южной Кореи, кампании Северной Кореи направлены на IT-системы оборонной сферы США и военных подрядчиков.
Северокорейские хакеры использовали как программы-вымогатели собственной разработки, такие как Maui и H0lyGh0st , так и сторонние вредоносные программы-вымогатели, такие как Deadbolt, ech0raix, GonnaCry, Hidden Tear, Jigsaw, LockBit, My Little Ransomware, NxRansomware, Ryuk, YourRansom.
Это первый случай, когда агентства связали конкретного субъекта с использованием Deadbolt и ech0raix – эти штаммы программ-вымогателей использовались для атак на клиентов поставщика сетевого оборудования QNAP .
По словам вгентств, северокорейские хакеры также пытались представить себя членами других групп вымогателей, таких как REvil . Эксперты утверждают, что киберпреступники создают несколько доменов и учетных записей, чтобы скрыть свои действия. Они также «покупают инфраструктуру, IP-адреса и домены с помощью криптовалюты, украденной в ходе кампаний». Кроме того, злоумышленники, также используют VPN, чтобы создать впечатление, что атаки исходят из других мест за пределами Северной Кореи.
Эксперты отметили, что в своих атаках хакеры обычно используют конкретные уязвимости - Log4Shell (CVE-2021-44228), CVE-2021-20038 и CVE-2022-24990 . Помимо программ-вымогателей, хакеры используют другие специализированные вредоносные программы для эксфильтрации данных, проведения разведывательных операций и кражи файлов.
Хакеры КНДР устанавливают выкуп в биткойнах и общаются с жертвами через электронную почту Proton Mail. Для частных компаний в секторе здравоохранения вымогатели могут угрожают раскрытием конфиденциальных данных компании конкурентам, если выкуп не будет уплачен.
Аллан Лиска, эксперт по программам-вымогателям из ИБ-компании Recorded Future дополнил, что Северная Корея всегда использовала программы-вымогатели, начиная с 2017 года, но в этом году она активизировала свои атаки, что сделало правительственных хакеров еще более опасным противником.
Спойлер: мы раскрываем их любимые трюки