Especialistas ligam novas amostras de ransomware à Coreia do Norte

Especialistas ligam novas amostras de ransomware à Coreia do Norte

Por Felipe Demartini | Editado por Claudio Yuge | 04 de Maio de 2022 às 13h59
Divulgação/ Nicolas Raymond/ Flickr/ PhotoPin

Especialistas em segurança digital ligaram, nesta semana, quatro novas famílias de ransomware ao grupo Lazarus, com conexões ao governo da Coreia do Norte. O bando, também conhecido como APT38, é um dos mais notórios no cenário de guerra cibernética do país e usaria as novas cepas em golpes contra instituições financeiras da região Ásia-Pacífico.

As pragas trazem similaridades com outros malwares utilizados antes pelo grupo e contam com semelhanças entre si. Nomes como Kaspersky, Sygnia e Trellix firmaram a associação entre as famílias de ransomware ChiChi, ZZZZ, Beaf e PXJ ao Lazarus, principalmente após dois ataques do tipo serem lançados com um framework chamado MATA, utilizado exclusivamente pelo grupo cibercriminoso.

A conclusão dos especialistas foi que as amostras ZZZZ, Beaf e PXJ reaproveitam códigos e funcionalidades de outras duas famílias já usadas pelo Lazarus: VHD e TFlower. Além disso, as duas últimas são praticamente idênticas entre si, com pequenas variações de programação provavelmente oriundas de um direcionamento durante ataques contra corporações. E-mails e infraestruturas também seriam compartilhados entre as cepas.

Os relatórios também mostram ondas de ataque ainda incipientes, com alvos asiáticos selecionados a dedo e sem divulgação pública de sites de resgate, amostras de dados vazados e outros indícios. Por outro lado, os especialistas da Trellix não encontraram relações entre as carteiras de criptomoedas originais usadas pelo Lazarus e os novos golpes, uma indicação de que os pagamentos ainda não ocorreram ou que novos endereços estariam em uso.

Com tudo isso, a suspeita é de ataques organizados e altamente direcionados, que acontecem com parcimônia, de forma a não disseminar as ferramentas criminosas e, por consequência, mecanismos de defesa. O objetivo, porém, seria o mesmo: obter fundos ou ativos digitais para financiar as pesquisas e desenvolvimento militar da Coreia do Norte.

Fonte: Trellix, Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.