Los piratas informáticos de inspiración financiera están ayudando a sus asociados de espionaje y al contraste
3 min read
Investigadores de Simantech Protection Farm el jueves Informe Trabajando de una manera diferente, el uso de un “conjunto de herramientas distintivo” de la ropa de ransa RA World que anteriormente se usaba para conducir el espionaje solo por el grupo de amenazas conectado a China.
El primer conjunto de herramientas manchadas en julio fue una variante de Plugx, una puerta trasera personalizada. Las timstampas del conjunto de herramientas fueron las mismas que la red de la agencia de seguridad Palo Alto en el Thor Plugx Verien, que son investigadores asociados con un grupo de grupos de espionaje chinos rastreados en nombre de Firant, Mustang Panda y Earth Pratta. La variante de Tipo 2 Plugx que se encuentra por la tendencia de la granja de seguridad también es similar a la variante.
Cuando el atacante se comprometió con el gobierno del país europeo del sudeste europeo, hubo más ataques de espía involucrados en la misma variación de Plugx en agosto. En el mismo mes, el atacante se comprometió con un ministerio gubernamental en un país del sudeste asiático. En septiembre de 2021, el atacante se comprometió con un operador de telecomunicaciones en el área y se dirigió a un ministerio gubernamental en el país del sudeste asiático en enero.
Los investigadores de Simantek tienen una teoría de la competencia sobre la causa de esta cooperación:
Hay evidencia para demostrar que el atacante puede haber estado involucrado con la ropa de ransa durante algún tiempo. En un informe del Attack World de RA, Palo Alto dijo que encontró algunos enlaces de Bronze Starlight (alias Emperador Dragonfly), actores con sede en China que establecieron varias cargas útiles de Ranswear. Esta ropa de ransa fue un equipo utilizado en el ataque a un equipo proxy llamado NPS, que fue construido por el desarrollador con sede en China. Anteriormente ha utilizado la luz de la estrella de bronce. Sentinelone, ya ha informado que la luz de la estrella de bronce estuvo involucrada en los ataques asociados con las familias de Lockfil, Atmsilo, Nightsky y Lockbith Ranswear.
No está claro por qué un actor cuya operación de espionaje está asociada con la operación también está aumentando un ataque de rescate. Aunque no es raro que los actores de amenaza de Corea del Norte se involucren en ataques de inspiración financiera para subsidiar sus actividades, pero las amenazas de espionaje basadas en China no tienen tal historia, y no tienen una razón obvia para seguir esta estrategia.
Otra posibilidad es que el ransomware se usara para actuar como un trabajo para alejar la atención de la naturaleza real de la cobertura o los ataques de espionaje. Sin embargo, el equipo utilizado en la infiltración de la instalación de la ropa de ransa no fue muy efectivo en la cubierta, especialmente aquellos que lo adjuntan a los ataques de espiones anteriores. En segundo lugar, el objetivo de Ranswear no eran organizaciones estratégicamente significativas y era algo externo que los objetivos de espionaje. Parece inusual que el atacante vaya a esta duración nacional en la naturaleza de su promoción. Finalmente, el atacante parecía serio sobre el rescate de la víctima y parecía haber pasado tiempo en conjunto con ellos. Si el ataque de Raansomware fuera solo una diversión, generalmente no lo sería.
Lo más probable es que la escena sea un actor, tal vez una persona, que usa el juego de herramientas de su empleador tratando de obtener algo de dinero.
El informe de Mandent en el informe del martes también menciona el uso del malware patrocinado por el estado por grupos de delitos. Los investigadores mandentes también dicen que también están observando lo que creen tanto en las ganancias financieras como en el acceso al espionaje.
