Resumen de buceo:
- Los piratas informáticos afiliados al gobierno de Corea del Norte representaron una pluralidad de ataques cibernéticos a estados-nación entre abril y septiembre, según un informe de amenazas que Trellix publicó el jueves.
- El ciberejército de Pyongyang ha estado desplegando técnicas de piratería más sofisticadas, incluidos métodos de intrusión libres de malware.
- Los ciberataques norcoreanos “se están profundizando y diversificando, desde el phishing y el espionaje hasta la infiltración basada en el empleo”, dijo Trellix en su informe, “exigiendo así una respuesta más dinámica, basada en inteligencia, tanto de las organizaciones como de los gobiernos”.
Información de buceo:
«Los grupos afiliados a Corea del Norte dominan el panorama de detección de amenazas», dijo Trellix en su informe. El infame Lazarus Group encabeza la lista, representando el 8,6% de las detecciones de Trellix, con Andariel y Kimsuky ocupando el segundo y tercer lugar, respectivamente.
Juntos, los grupos afiliados a Corea del Norte representan el 18,2% de toda la actividad alineada con el Estado-nación que identificó Trellix.
Trellix dijo que el hallazgo «representa una escalada significativa» en la actividad cibernética de Corea del Norte, y señaló que los agentes del país están siguiendo estrategias de intrusión cuidadosas y difíciles de detectar, incluyendo esquemas de trabajadores de TI remotos.
Según el informe, los grupos de hackers de los estados-nación en general están evitando el malware y las vulnerabilidades en favor de técnicas de vida de la tierra. Las funciones integradas de Windows Símbolo del sistema y PowerShell encabezaron la lista de las herramientas más utilizadas por los piratas informáticos, lo que, según Trellix, era consistente con «el uso de estrategias de evasión avanzadas diseñadas para combinarse con la actividad normal de la red».
La compañía dijo que su informe de amenazas reveló «una situación madura». [advanced persistent threat] ecosistema con preferencias de herramientas establecidas, innovación continua y una clara alineación con los objetivos estratégicos de inteligencia”.
Para abordar este entorno de amenazas, dijo Trellix, los líderes de seguridad «deben implementar defensas en capas» que puedan detectar herramientas de ataque personalizadas y abusos de procesos legítimos. Esto incluye software de detección que puede identificar anomalías de comportamiento utilizando información contextual, principios de confianza cero como el acceso con mínimos privilegios y el aislamiento de activos de alto valor. Los administradores de sistemas también deben imponer estrictamente el acceso a cuentas privilegiadas, que son los principales objetivos de los piratas informáticos que buscan moverse a través de una red.
«La colaboración entre los equipos de SOC, TI y de inteligencia de amenazas garantiza que las desviaciones sutiles, como el uso inusual de la línea de comandos o el movimiento lateral a través de credenciales legítimas, se identifiquen tempranamente», dijo Trellix.
El informe también encontró que el sector de las telecomunicaciones fue el principal objetivo tanto de los ciberdelincuentes como de los piratas informáticos de los estados-nación, y representó el 71% de los ataques. Tecnología, transporte, servicios empresariales y finanzas completaron la lista de los cinco primeros.
Curiosamente, Turquía representó la mayor cantidad de detecciones de víctimas de piratería informática en Estados-nación, con un 33%, y Estados Unidos ocupó el segundo lugar, con un 24%. Trellix especuló que la prominencia de Turquía reflejaba “campañas coordinadas potencialmente relacionadas con su posición estratégica entre Europa y Asia, su infraestructura crítica y tensiones geopolíticas regionales”. Los piratas informáticos se centraron abrumadoramente en las redes de telecomunicaciones de Turquía, mientras que la actividad en Estados Unidos se distribuyó de manera más uniforme entre tecnología y servicios empresariales.
«Las organizaciones se enfrentan a un ecosistema APT maduro caracterizado por campañas persistentes y específicas con claras motivaciones geopolíticas», dijo Trellix. «La concentración de actividad en sectores críticos de infraestructura, combinada con el predominio de actores patrocinados por el Estado, indica que las operaciones de la APT están cada vez más alineadas con objetivos de seguridad nacional en lugar de motivaciones puramente financieras».
Fuente