Il gruppo nordcoreano ScarCruft si espande dallo spionaggio agli attacchi ransomware

Gli hacker nordcoreani ScarCruft passano dallo spionaggio al ransomware, utilizzando il malware VCD in attacchi di phishing e prendendo di mira la Corea del Sud con strumenti avanzati. Scopri come questo nuovo malware segna il passaggio dallo spionaggio agli attacchi informatici a scopo finanziario.

Un noto gruppo di hacker nordcoreano, ScarCruft , sta cambiando i suoi metodi, aggiungendo un nuovo tipo di attacco al suo consueto repertorio di spionaggio. Gli esperti di sicurezza informatica dell'azienda sudcoreana S2W hanno recentemente pubblicato un rapporto che rivela che ScarCruft sta ora utilizzando un nuovo ransomware chiamato VCD.

Si tratta di un cambiamento fondamentale, poiché il gruppo si è tradizionalmente concentrato sul furto di informazioni da personaggi di alto profilo e agenzie governative in paesi come Corea del Sud, Giappone e Russia.

La recente campagna del gruppo, condotta da un sottogruppo chiamato ChinopuNK, è avvenuta a luglio e ha utilizzato e-mail di phishing per prendere di mira persone in Corea del Sud. Queste e-mail contenevano un file subdolo camuffato da aggiornamento dei codici postali.

Una volta aperto, il file ha infettato il computer della vittima con oltre nove diversi tipi di malware, tra cui una nuova variante di un malware noto chiamato ChillyChino e una backdoor scritta nel linguaggio di programmazione Rust . Tra questi c'erano programmi per il furto di informazioni come LightPeek e FadeStealer, oltre a una backdoor chiamata NubSpy che consentiva agli hacker di controllare segretamente il computer.

Questa backdoor è particolarmente ingegnosa perché utilizza un servizio di messaggistica in tempo reale chiamato PubNub per nascondere il traffico dannoso all'interno della normale attività di rete. Questa campagna è degna di nota anche perché include il nuovo ransomware VCD, che blocca i file di un utente e chiede un riscatto. La richiesta di riscatto è disponibile sia in inglese che in coreano.

Secondo il Threat Analysis and Intelligence Center (TALON) di S2W, questo nuovo approccio suggerisce che ScarCruft potrebbe aggiungere obiettivi finanziari alle sue attività di spionaggio. Il gruppo fa parte di una rete più ampia di hacker nordcoreani noti per generare denaro per il governo del Paese, che sta affrontando numerose sanzioni economiche.

Un rapporto delle Nazioni Unite dell'anno scorso ( PDF ) ha addirittura affermato che gli hacker nordcoreani, tra cui gruppi come Lazarus e Kimsuky , hanno rubato circa 3 miliardi di dollari in sei anni.

Mayank Kumar , ingegnere di intelligenza artificiale fondatore di DeepTempo, ha commentato questa evoluzione, evidenziando come questi attacchi stiano diventando più complessi. Condividendo il suo commento con Hackread.com, Kumar ha affermato che l'uso del ransomware da parte di ScarCruft insieme ai suoi consueti strumenti di spionaggio mostra una nuova tendenza in cui l'hacking sostenuto dalle nazioni e le tattiche criminali si stanno fondendo.

"I gruppi di minacce persistenti avanzate devono ampliare i propri strumenti e sfumare il confine tra spionaggio e criminalità informatica. I difensori devono prepararsi a campagne in cui il ransomware è un elemento di un'operazione in più fasi. Il rilevamento adattivo delle anomalie basato sul deep learning nel traffico di rete, negli eventi di sistema e nei log di sicurezza, abbinato a una solida segmentazione, un rapido contenimento e la visibilità delle attività degli avversari, sia umane che automatizzate, è essenziale per contrastare queste minacce miste", ha suggerito Kumar.