Lazarus: nuovo piano d'azione per i cracker nordcoreani

Lazarus: furto di crypto via Telegram, dalla Corea

L'azione del gruppo nordcoreano Lazarus è evoluta, ma la finalità non cambia: colpire i sistemi delle vittime e sottrarre criptovalute.
Lazarus: furto di crypto via Telegram, dalla Corea
L'azione del gruppo nordcoreano Lazarus è evoluta, ma la finalità non cambia: colpire i sistemi delle vittime e sottrarre criptovalute.

Dell’attività del gruppo Lazarus proveniente dalla Corea del Nord abbiamo già scritto su queste pagine nei mesi scorsi in relazione alle accuse mosse dagli Stati Uniti riguardanti ransomware e attacchi il cui obiettivo è raccogliere fondi sottraendo criptovalute ad aziende e organizzazioni. Oggi torniamo a farlo poiché secondo Kaspersky il suo approccio è evoluto.

Ransomware: Lazarus e la Operation AppleJeus Sequel

La software house russa ha battezzato la nuova strategia come Operation AppleJeus Sequel, una sorta di versione 2.0 della campagna già messa in campo tra il 2018 e il 2019, capace secondo le stime delle Nazioni Unite di racimolare oltre due miliardi di dollari in meno di un anno (dato aggiornato all’agosto scorso).

Ora i cybercriminali sembrano aver scelto di agire in modo ancora più subdolo rispetto al passato, in modo più cauto e seguendo un modus operandi studiato così da passare inosservato durante l’azione per poi lasciare il minor volume possibile di tracce. In che modo? Ad esempio eseguendo il codice maligno direttamente all’interno della memoria dei computer colpiti anziché passando dal lancio di un file preventivamente introdotto sul disco fisso.

Uno degli strumenti impiegati per mettere a segno gli attacchi e allungare le mani sulle monete virtuali è ora Telegram, la celebre applicazione per la messaggistica diffusa soprattutto fra coloro più attenti alla privacy. In breve, Lazarus crea false compagnie di trading attirando l’attenzione delle potenziali vittime verso i loro siti e indirizzandole poi all’interno di gruppi di chat attraverso i quali distribuire i malware o i ransomware. Così facendo sarebbero già state colpite aziende e istituzioni nei territori di Regno Unito, Polonia, Russia e Cina.

Ricordiamo infine che stando alla tesi sostenuta dal governo USA, tra gli obiettivi di Lazarus (team ritenuto sotto il controllo del Reconnaissance General Bureau, l’agenzia di intelligence della Corea del Nord) ci sarebbe quello di raccogliere illecitamente fondi da destinare al programma missilistico messo in campo da Pyongyang.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
9 gen 2020
Link copiato negli appunti