Des pirates informatiques nord-coréens soutenus par l’État mènent des attaques de rançongiciels contre des établissements de santé et des infrastructures critiques pour financer des activités illicites, ont averti les agences de cybersécurité et de renseignement américaines et sud-coréennes dans un avis conjoint.
Les attaques, qui exigent des rançons de crypto-monnaie en échange de la récupération de l’accès aux fichiers cryptés, sont conçues pour soutenir les priorités et les objectifs de la Corée du Nord au niveau national.
Cela comprend « les cyberopérations ciblant les gouvernements des États-Unis et de la Corée du Sud – les cibles spécifiques incluent les réseaux d’information du ministère de la Défense et les réseaux membres de la base industrielle de la défense », ont déclaré les autorités. a dit.
Les acteurs de la menace avec la Corée du Nord ont été lié à des opérations d’espionnage, de vol financier et de cryptojacking pendant des années, y compris les tristement célèbres attaques de ransomware WannaCry de 2017 qui ont infecté des centaines de milliers de machines situées dans plus de 150 pays.
Depuis lors, les équipes des États-nations nord-coréens se sont essayées à plusieurs souches de ransomwares telles que VHD, Maui et H0lyGh0st pour générer un flux constant de revenus illégaux pour le régime frappé de sanctions.
En plus de se procurer son infrastructure grâce à la crypto-monnaie générée par ses activités criminelles, l’adversaire est connu pour fonctionner sous des identités de sociétés étrangères affiliées tierces pour dissimuler leur implication.
Les chaînes d’attaque montées par l’équipe de piratage impliquent l’exploitation de failles de sécurité connues dans les appliances Apache Log4j, SonicWall et TerraMaster NAS (par exemple, CVE 2021-44228, CVE-2021-20038et CVE-2022-24990) pour obtenir un accès initial, suivi d’une reconnaissance, d’un mouvement latéral et d’un déploiement de ransomware.
En plus d’utiliser des ransomwares développés en privé, les acteurs ont été observés en train d’utiliser des outils prêts à l’emploi comme BitLocker, DeadBolt, ech0raix, Jigsaw et YourRansom pour chiffrer des fichiers, sans parler même d’usurper l’identité d’autres groupes de ransomwares tels que REvil.
Comme mesures d’atténuation, les agences recommandent aux organisations de mettre en œuvre le principe du moindre privilège, de désactiver les interfaces de gestion des périphériques réseau inutiles, d’appliquer une segmentation réseau multicouche, d’exiger des contrôles d’authentification résistants au phishing et de maintenir des sauvegardes de données périodiques.
L’alerte intervient alors qu’un nouveau rapport des Nations Unies a révélé que des pirates nord-coréens avaient volé des actifs virtuels record estimés entre 630 millions de dollars et plus d’un milliard de dollars en 2022.
Le rapport, vu par l’Associated Pressa déclaré que les acteurs de la menace utilisaient des techniques de plus en plus sophistiquées pour accéder aux réseaux numériques impliqués dans la cyberfinance et pour voler des informations aux gouvernements, aux entreprises et aux individus qui pourraient être utiles dans les programmes nucléaires et de missiles balistiques de la Corée du Nord.
Il a en outre appelé Kimsuky, Lazarus Group et Andariel, qui font tous partie du Bureau général de reconnaissance (RVB), pour continuer à cibler les victimes dans le but de générer des revenus et solliciter des informations de valeur pour le royaume ermite.
