Un grupo de piratas informáticos de Corea del Norte está apuntando a las nuevas empresas de cifrado

BlueNoroff, un grupo de piratería de Corea del Norte, ahora se dirige principalmente a las nuevas empresas de criptografía, según un informe de la firma de seguridad cibernética Kaspersky.

BlueNoroff se dirige únicamente a las empresas emergentes de criptomonedas

El grupo de piratería de Corea del Norte conocido como BlueNoroff se dirige casi exclusivamente a las nuevas empresas de criptomonedas, según un nuevo informe de Kapersky.

BlueNoroff es un grupo de piratería con vínculos con el grupo más grande de ciberdelincuencia Lazarus, que se sabe que tiene fuertes vínculos con Corea del Norte en el pasado. Inicialmente se centró en los bancos y la red de pago SWIFT, comenzando con un ataque al Banco Central de Bangladesh en 2016.

Pero ahora, BlueNoroff ha "cambiado [su] enfoque... a negocios de criptomonedas únicamente" en lugar de bancos tradicionales, dice Kaspersky.

Según el informe, el grupo de piratería históricamente ha comenzado cada ataque "acechando y estudiando las nuevas empresas exitosas de criptomonedas" a través de campañas prolongadas de phishing que involucran correos electrónicos y chats internos.

BlueNoroff se ha hecho pasar por varios negocios de criptomonedas existentes, incluido el brazo comercial de Cardano, Emurgo, y la firma de capital de riesgo de Nueva York, Digital Currency Group. También se ha hecho pasar por Beenos, Coinsquad, Decrypt Capital y Coinbig.

Kaspersky señaló que esas empresas no se vieron comprometidas durante los ataques.

Los piratas informáticos utilizarían puertas traseras

Después de ganarse la confianza de la startup objetivo y de los miembros, los piratas informáticos harían que la empresa instalara una actualización de software modificada con acceso de puerta trasera, lo que permitiría una mayor intrusión.

Luego, el grupo usaría la puerta trasera para recopilar las credenciales de los usuarios y monitorear las pulsaciones de teclas de los usuarios. Este monitoreo de la actividad del usuario duraría "durante semanas o meses", dice Kaspersky.

BlueNoroff solía explotar CVE-2017-0199 en Microsoft Office, que permite ejecutar scripts de Visual Basic en documentos de Word. El grupo también reemplazaría los complementos de la billetera del navegador, como Metamask, con versiones comprometidas.

Estas estrategias permitieron a la empresa robar fondos de la empresa y "establecer una vasta infraestructura de monitoreo" que notificaba al grupo sobre grandes transacciones.

¿Cuánto se ha robado?

Kaspersky no indicó cuánto se había robado a través de estos ataques. Sin embargo, Costin Raiu de Kaspersky anteriormente no haber aun identificado una solucion para el problema bZx como uno de los objetivos de la campaña SnatchCrypto de BlueNoroff. A ese intercambio le robaron $ 55 millones en noviembre de 2021.

El Tesoro de EE. UU. también ha sugerido que BlueNoroff, junto con Lazarus y otro subgrupo, robaron USD 571 millones en criptomonedas de cinco intercambios entre enero de 2017 y septiembre de 2018. BlueNoroff robó más de USD 1.1 millones de instituciones financieras para 2018, dijo el Tesoro en el mismo informe. .

Por cierto, la firma de análisis Chainalysis sugirió hoy que los piratas informáticos de Corea del Norte robaron $ 400 millones en 2021. Sin embargo, este informe solo menciona a Lazarus en general, no a BlueNoroff específicamente.

Divulgación: en el momento de escribir este artículo, el autor de este artículo posee BTC, ETH y otras criptomonedas.