No es un grupo de raperos de los años 80, es la segunda banda de hacking más notoria de Corea del Norte.
Un grupo de hackers norcoreanos participa en una campaña masiva dirigida a instituciones financieras estadounidenses e intercambios de criptomonedas en todo el mundo, con las autoridades estadounidenses advirtiendo sobre el alto nivel de amenaza que representa para el país.
Según una alerta emitida por el Departamento de Seguridad Nacional de los Estados Unidos (DHS), agencias como el FBI, el Comando Cibernético de los Estados Unidos y el Departamento del Tesoro están preparando el resurgimiento del grupo de hacking patrocinado por Corea del Norte, BeagleBoyz.
Los piratas informáticos no han sido tan activos en los últimos años como el famoso Grupo Lazarus – otro grupo de hacking del régimen ermitaño. Sin embargo, se dice que son responsables de robar $2 mil millones desde al menos 2015, en su mayoría relacionados con “robos lucrativos de criptomonedas”, dijo el DHS de Estados Unidos.
El grupo parece haber reestructurado su equipo a principios de este año, de acuerdo con los últimos hallazgos, y han desarrollado nuevos “métodos irreversibles de robo” para apuntar a los intercambios de cripto.
El malware que el plan BeagleBoyz para utilizar incluye COPPERHEDGE – una herramienta de acceso remoto empleada por sofisticados grupos de amenazas para apuntar a los intercambios criptográficos. La herramienta puede ejecutar comandos en sistemas comprometidos y exfiltrate datos robados.
Hablando con Cointelegraph, Erich Kron, defensor de la conciencia de seguridad en la empresa de ciberseguridad KnowBe4, dijo que el grupo estaba bien organizado y dirigido a cajeros automáticos, así como intercambios.
“Los esquemas de retiro de cajeros automáticos son interesantes, ya que a menudo están bien organizados y pueden incluir a muchos cómplices de todo el mundo que trabajan juntos para hacer grandes retiros simultáneamente”, dijo. En contraste, la entrega de malware a los intercambios era generalmente bastante básico, dijo:
“El uso de correos electrónicos de phishing y conexiones de LinkedIn demuestran cómo los ataques iniciales se realizan a menudo utilizando esquemas de ingeniería social de baja tecnología, luego pasar a más técnicas de alta tecnología una vez en la red.”
Según un informe publicado por la empresa finlandesa de ciberseguridad y privacidad, F-Secure, el último ataque del Grupo Lazarus se hizo a través de un anuncio de trabajo relacionado con cripto en LinkedIn.
Su investigación indicó que un individuo que trabaja en el espacio blockchain recibió un mensaje de phishing que imitaba una lista de trabajos blockchain legítima.