Evolución de los ataques de DeathNote (Lazarus): de criptomonedas a la industria de la defensa

162

El peligroso grupo de ciberdelincuentes Lazarus ha atacado con insistencia a empresas relacionadas con el sector de las criptomonedas. Kaspersky ha detectado que en un caso concreto hicieron uso de un malware modificado. A mediados de octubre de 2019, los analistas de la compañía de ciberseguridad encontraron un documento sospechoso subido a VirusTotal. El autor del malware utilizó documentos señuelo relacionados con el negocio de las criptomonedas. En ellos, se incluía un cuestionario sobre la compra de criptomonedas, una introducción a una moneda virtual en particular y lo mismo para una empresa de minería de bitcoin. Esta fue la primera vez que entró en escena la campaña DeathNote, dirigida a personas y empresas relacionadas con las criptomonedas en Chipre, Estados Unidos, Taiwán y Hong Kong.

En abril de 2020, Kaspersky observó un cambio significativo en los vectores de infección de DeathNote, centrándose en organizaciones dedicadas a la automoción y de corte académico en del Este, todas ellas vinculadas a la industria de la . Modificó documentos señuelo relacionados con las descripciones del trabajo de contratistas de defensa y también con la diplomacia. Además, elaboró su propia cadena infecciosa mediante inyección de código y software de visualización para archivos PDF que escondía un troyano.

En mayo de 2021, Kaspersky ya observó que una empresa de TI europea dedicada a ofrecer soluciones para dispositivos de red y monitorización de servidores se vio comprometida por DeathNote. Además, a principios de junio de 2021 este subgrupo de Lazarus comenzó a utilizar un nuevo mecanismo para infectar en Corea del Sur. Lo que llamó la atención de los investigadores fue que la etapa inicial del malware fue ejecutada por un software legítimo que se usa de manera recurrente para la seguridad en dicho país.

La campaña en curso se detectó por primera vez en julio de 2022. Lazarus había ciberatacado con éxito un contratista de defensa en África. Todo comenzó con la infección a través de una app de lectura de archivos PDF recibida a través del messenger de Skype. Una vez ejecutado el lector de PDF, se creaba un archivo legítimo denominado ‘CameraSettingsUIHost.exe' y otro malicioso llamado ‘DUI70.dll' en el mismo directorio.

“Lazarus es un grupo de ciberdelincuentes sin escrúpulos, pero muy cualificado. Nuestro análisis de DeathNote revela una rápida evolución en sus Tácticas, Técnicas y Procedimientos (TTP) a lo largo de los años. Esta vez no se ha limitado a las criptomonedas, ha ido más allá. Despliega tanto software legítimo como malicioso para comprometer empresas del sector de la defensa. Su constante evolución hace crucial para las organizaciones mantener la vigilancia y las medidas proactivas a fin de defenderse correctamente”, asegura Seongsu Park, analista principal de Seguridad GReAT de Kaspersky.

Para evitar sufrir ciberataques de grupos tanto conocidos como no conocidos, los analistas de Kaspersky recomiendan:

  • Realizar auditorías de ciberseguridad y monitorizaciones de red periódicamente para corregir errores y descubrir debilidades o elementos maliciosos.
  • Proporcionar a los profesionales capacitación de higiene en ciberseguridad. Muchos ataques son de tipo o se sirven de técnicas de ingeniería social.
  • Formar a la plantilla para que descarguen software únicamente de fuentes fiables y tiendas oficiales de aplicaciones.
  • Utilizar una solución EDR para detectar y responder a avanzadas en tiempo real, como Kaspersky Managed Detection and Response.
  • Usar soluciones contra fraudes protege las transacciones con criptomonedas mediante la detección y prevención del robo de cuentas, las transacciones no verificadas y el lavado de .