A medida que las autoridades de EE. UU. aumentan la recompensa disponible por información sobre los actores de amenazas de Corea del Norte en $ 5 millones, los investigadores de amenazas de Digital Shadows han estado investigando una nueva banda de ransomware de Corea del Norte, denominada H0lyGh0st, cuya existencia fue informada a principios de este mes por Microsoft.
La pandilla, que parece especializarse en atacar a las pequeñas y medianas empresas (PYME), tiene un modus operandi que no es tan diferente de otras pandillas de ransomware: favorece las tácticas de doble extorsión y opera un sitio web de fuga de datos, entre otras cosas. pero tiene algunas peculiaridades notables que lo distinguen de sus pares, según el analista senior de inteligencia de amenazas cibernéticas de Digital Shadows, Chris Morgan.
Si bien las pandillas de ransomware modernas se asocian principalmente con Rusia (el 74 % de los pagos de rescate se destinaron a grupos con sede en Rusia en 2021, según Chainalysis), los grupos norcoreanos como Lazarus (con el que H0lyGh0st puede estar vinculado a través de DarkSeoul APT) hicieron mucho para originarlos. el género a través de incidentes de alto perfil como WannaCry. Y otros ransomwares de Corea del Norte no son desconocidos.
Sin embargo, explicó Morgan, las operaciones de ransomware de Corea del Norte enfrentan algunos desafíos únicos que son menos preocupantes para los grupos rusos.
“Operar una operación delictiva cibernética desde la Corea del Norte comunista le presentará a H0lyGh0st una serie de problemas únicos”, dijo. “Si bien la relación específica con el estado no está clara, es probable que H0lyGh0st tenga que pagar un porcentaje significativo o incluso la totalidad de sus ganancias al gobierno de Corea del Norte.
“Si bien el ciberdelincuente ruso promedio probablemente gasta sus pagos en un Lamborghini o docenas de botellas de Bollinger, siendo realistas, ¿en qué puede gastar sus ganancias en las cadenas minoristas de Pyongyang? Ciertamente plantea preguntas sobre las motivaciones de los operadores de H0lyGh0st”.
“Si bien el ciberdelincuente ruso promedio probablemente gasta sus pagos en un Lamborghini o docenas de botellas de Bollinger, ¿en qué puede gastar sus ganancias en las cadenas minoristas de Pyongyang? Plantea preguntas sobre las motivaciones de los operadores de H0lyGh0st”
Chris Morgan, Sombras digitales
Se presentan más desafíos en términos de operar la infraestructura y comunicarse con las víctimas desde dentro de un estado paria. El lamentable estado de los servicios de Internet de Corea del Norte y su red eléctrica significa que el sitio de filtración de H0lyGh0st se desconecta con frecuencia y no publica los datos de sus víctimas con tanta frecuencia como otros. Morgan cree que esto puede afectar su credibilidad y su capacidad para rescatar a las víctimas que asumen que están tratando con un atacante que no tiene los medios para operar como Conti o REvil.
También es probable que a H0lyGh0st le resulte más difícil que a otros identificar técnicas de desarrollo y atraer nuevos talentos a su equipo, dijo Morgan. Las operaciones de alto perfil mantienen su éxito a través de un proceso de mejora continua, evolucionando sus técnicas y puliendo su reputación. Es probable que la capacidad de H0lyGh0st para hacer esto se vea gravemente obstaculizada.
Sin embargo, dijo Morgan, existen claras ventajas de operar desde Corea del Norte. “Una observación de Microsoft fue que H0lyGh0st cobró precios de rescate notablemente bajos para las víctimas. H0lyGh0st normalmente pide a las víctimas un rescate de 1,2 a 5 bitcoins y está dispuesto a reducir el precio a menos de un tercio durante las negociaciones.
“Para poner eso en contexto, mientras que el precio ha fluctuado dramáticamente en el último año, un bitcoin actualmente tiene un precio de alrededor de $20,000-24,000. Eso es dramáticamente más bajo que la mayoría de los otros grupos de ransomware”.
De hecho, dijo, esto puede hacer que las víctimas sean más propensas a pagar en el primer contacto y potencialmente elimina la necesidad de negociaciones prolongadas con las víctimas, ahorrando tiempo y dinero a todos, aunque no en el buen sentido.
H0lyGh0st también se beneficia de un cierto grado de protección por parte de las fuerzas del orden internacionales. Gracias al aislamiento de Corea del Norte de la comunidad internacional, las únicas opciones reales de las autoridades occidentales son emitir acusaciones o perseguir plataformas criptográficas de lavado de dinero. Tienen poca o ninguna capacidad para realizar operaciones, apoderarse de infraestructuras o realizar detenciones, como sucedía con frecuencia en Rusia y Ucrania antes de la guerra.
Morgan dijo que H0lyGh0st probablemente desempeñaría un papel continuo, aunque limitado, en un repertorio más amplio de actividades delictivas cibernéticas motivadas financieramente, como la selección de plataformas vulnerables de criptomonedas y tokens no fungibles (NFT), que salen de Corea del Norte.
