Hackeo masivo de la cadena de suministro de 3CX dirigido a empresas de criptomonedas

Dada esa detección, no está claro qué tan exitosa ha sido la campaña. Kucherin dice que Kaspersky no ha visto ninguna evidencia de robo real de criptomonedas de las empresas que vio como objetivo del malware Gopuram. Sin embargo, Kucherin señala que el ataque a la cadena de suministro de 3CX se detectó con relativa rapidez en comparación con otros: la instalación del malware inicial que los piratas informáticos parecían usar para el reconocimiento fue detectada por empresas como CrowdStrike y SentinelOne la semana pasada, menos de un mes después. fue desplegado. “Trataron de ser sigilosos pero fallaron”, dice Kucherin. “Se descubrieron sus implantes de primera etapa”. Kaspersky basó esa conclusión en el descubrimiento de que, en algunos casos, los piratas informáticos de la cadena de suministro de 3CX utilizaron su ataque para instalar un programa de puerta trasera versátil conocido como Gopuram en las máquinas de las víctimas, que los investigadores describen como "la carga útil final en la cadena de ataque". Kaspersky dice que la aparición de ese malware también representa una huella digital de Corea del Norte: se ha visto que Gopuram se usó antes en la misma red que otra pieza de malware, conocida como AppleJeus, vinculada a piratas informáticos de Corea del Norte. También se vio anteriormente a Gopuram conectarse a la misma infraestructura de comando y control que AppleJeus, y se vio que Gopuram se usó anteriormente para apuntar a empresas de criptomonedas. Todo eso sugiere no solo que el ataque 3CX fue realizado por piratas informáticos de Corea del Norte, sino que puede haber tenido la intención de violar las empresas de criptomonedas para robarles, una táctica común de los piratas informáticos de Corea del Norte a los que se les ordena recaudar dinero para el régimen de Kim Jong Un.

"Todo esto fue solo para comprometer a un pequeño grupo de empresas, tal vez no solo en criptomonedas, pero lo que vemos es que uno de los intereses de los atacantes son las empresas de criptomonedas", dice Georgy Kucherin, investigador del equipo de analistas de seguridad GReAT de Kaspersky. . "Las empresas de criptomonedas deberían estar especialmente preocupadas por este ataque porque son los objetivos probables, y deberían escanear sus sistemas en busca de un mayor compromiso". Pero dados los cientos de miles de víctimas potenciales del compromiso de la cadena de suministro de 3CX, nadie debería concluir todavía que solo las empresas de cifrado fueron atacadas, dice Tom Hegel, investigador de seguridad de SentinelOne. "La teoría actual en este punto es que los atacantes inicialmente se dirigieron a las empresas criptográficas para ingresar a esas organizaciones de alto valor", dice Hegel. “Supongo que una vez que vieron el éxito de esto y el tipo de redes en las que estaban, probablemente entraron en juego otros objetivos”.

Los piratas informáticos que explotan la cadena de suministro de software para acceder a las redes de muchos miles de organizaciones, solo para reducir su objetivo a unas pocas víctimas, se ha convertido en un tema recurrente para los piratas informáticos sofisticados patrocinados por el estado. En la notoria campaña de espionaje Solar Winds de 2020, por ejemplo, los piratas informáticos rusos comprometieron el software de monitoreo de TI Orion para enviar actualizaciones maliciosas a unas 18,000 víctimas, pero se cree que solo atacaron a unas pocas docenas de ellos con el robo de datos reales con fines de espionaje. En el compromiso anterior de la cadena de suministro del software CCleaner, el grupo de piratas informáticos chino conocido como Bario o WickedPanda comprometió hasta 700,000 PC, pero de manera similar eligió apuntar a una lista relativamente corta de empresas de tecnología.

QUIZÁS TE INTERESE Análisis de precios de Bitcoin: BTC alcanza $30K, marcando el punto de precio más alto desde junio de 2022

“Todo esto se está desarrollando muy rápidamente. Creo que continuaremos obteniendo una mejor comprensión de las víctimas”, dice Hegel. "Pero desde el punto de vista de un atacante, si todo lo que hicieron fue apuntar a empresas criptográficas, esta fue una oportunidad dramáticamente desperdiciada".

Por ahora, dice Hegel, ninguna empresa de seguridad por sí sola puede ver la forma completa de la campaña de piratería de 3CX, o establecer definitivamente sus objetivos. Pero si los piratas informáticos de Corea del Norte realmente comprometieron una pieza de software utilizada por 600,000 organizaciones en todo el mundo y la usaron solo para tratar de robar criptomonedas de un puñado de ellas, es posible que hayan tirado las llaves de un reino mucho más grande.

Investigadores de la empresa rusa de ciberseguridad Kaspersky revelaron hoy que identificaron un pequeño número de empresas centradas en criptomonedas como al menos algunas de las víctimas del ataque a la cadena de suministro de software 3CX que se desarrolló durante la última semana. Kaspersky se negó a nombrar a ninguna de esas empresas víctimas, pero señala que tienen su sede en "Asia occidental". Las firmas de seguridad CrowdStrike y SentinelOne la semana pasada atribuyeron la operación a piratas informáticos de Corea del Norte, quienes comprometieron el software de instalación de 3CX que utilizan 600.000 organizaciones en todo el mundo, según el proveedor. A pesar de la amplitud potencialmente masiva de ese ataque, que SentinelOne denominó "Operador suave", Kaspersky ahora descubrió que los piratas informáticos rastrearon a las víctimas infectadas con su software corrupto para finalmente apuntar a menos de 10 máquinas, al menos hasta donde Kaspersky pudo observar. lejos, y que parecían estar centrándose en las empresas de criptomonedas con "precisión quirúrgica". Los ataques a la cadena de suministro de software , en los que los piratas informáticos corrompen aplicaciones ampliamente utilizadas para enviar su propio código a miles o incluso millones de máquinas, se han convertido en un flagelo de ciberseguridad, tanto insidiosos como potencialmente enormes en cuanto a la amplitud de su impacto. Pero el último gran ataque a la cadena de suministro de software, en el que los piratas informáticos que parecen estar trabajando en nombre del gobierno de Corea del Norte ocultaron su código en el instalador de una aplicación común de VoIP conocida como 3CX, hasta ahora parece tener un objetivo prosaico: irrumpir en un puñado de empresas de criptomonedas. “Esto se está volviendo muy común”, dice Kucherin, quien también trabajó en el análisis de SolarWinds y encontró pistas que vinculan ese ataque a la cadena de suministro con un grupo ruso conocido. “Durante los ataques a la cadena de suministro, el actor de amenazas realiza un reconocimiento de las víctimas, recopila información, luego filtra esta información y selecciona a las víctimas para implementar un malware de segunda etapa”. Ese proceso de filtrado está diseñado para ayudar a los piratas informáticos a evitar la detección, señala Kucherin, ya que implementar el malware de segunda etapa en demasiadas víctimas permite que el ataque a la cadena de suministro se detecte más fácilmente.

Los tres mejores electrodomésticos pequeños para invertir antes de finalizar 2023

«Redmi Note 13 Pro+: La Revolución de la Gama Media en Smartphones»

El cometa Nishimura iluminará el cielo este domingo

Revisemos cómo la conectividad y los dispositivos inteligentes revolucionarán la salud del futuro

¿Cómo los collares inteligentes con GPS y los smartwatchs revolucionan el cuidado de las vacas?

Horizon Forbidden West para PC: ¿Qué sabemos hasta ahora?

«Motorola Edge 40 Neo: Una Revolución Visual a 144 Hz por Menos de 400 euros»

Percy Jackson and the Olympians: la serie que promete revivir la magia de los dioses griegos

Blink-182 regresa con su formación original y un nuevo álbum

Cuidar el cabello en otoño: cómo proteger tu melena del cambio de estación

Los tres mejores electrodomésticos pequeños para invertir antes de finalizar 2023

Navegación

Tendencias