Hackers rusos y norcoreanos roban 2 TB de datos de bancos surcoreanos

La industria financiera de Corea del Sur se vio afectada por un ataque coordinado a la cadena de suministro vinculado a actores de amenazas rusos y norcoreanos, que resultó en el despliegue del ransomware Qilin y el robo de datos confidenciales, confirmó la firma de ciberseguridad Bitdefender.

Al compilar la investigación para su informe Threat Debrief de octubre, Bitdefender dijo que comenzó a investigar la campaña después de notar un aumento inusual endentde ransomware en Corea del Sur en septiembre. 

El país registró 25 ataques ese mes, una profunda diferencia respecto del promedio mensual de solo dos casos registrados entre septiembre de 2024 y agosto de este año. 

Corea del Sur fue blanco de ataques de ransomware Qilin

Según el informe publicado el lunes pasado, Corea del Sur se ha convertido en el segundo país más afectado por el ransomware este año, solo por detrás de Estados Unidos. La empresa de seguridad informática identificó quedent, 25 fueron atribuidos al grupo de ransomware Qilin, y 24 de las entidades afectadas pertenecían al sector financiero. 

“Esta operación combinó las capacidades de un importante grupo de ransomware como servicio (RaaS), Qilin, con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), aprovechando el compromiso del proveedor de servicios administrados (MSP) como vector de acceso inicial”, se lee en el informe.

Qilin es uno de los grupos de ransomware este año, operando bajo un modelo de ransomware como servicio y cobrándose más de 180 víctimas solo en octubre. Según la información de inteligencia de amenazas de NCC Group, esta operación es responsable del 29 % de todos los ataques de ransomware a nivel mundial.

Aunque el nombre del grupo proviene de una criatura mitológica china, Bitdefender cree que Qilin tiene raíces rusas. Su investigación descubrió que uno de sus miembros fundadores, "BianLian", se comunica en ruso e inglés y participa activamente en foros de ciberdelincuencia en ruso. 

El grupo también evita atacar organizaciones en la Comunidad de Estados Independientesdent una regla común entre las operaciones de ransomware con sede en Rusia.

Qilin recluta hackers para llevar a cabo sus ataques, mientras que los operadores principales se llevan una parte de las ganancias ilícitas. El grupo también presume de contar con un equipo interno de periodistas para ayudar a sus afiliados a redactar mensajes y publicaciones de extorsión para su plataforma de filtración de datos.

Según el análisis de Bitdefender sobre la campaña Korean Leaks, los piratas informáticos se hicieron pasar por “activistas” y “patriotas” utilizando un lenguaje político para producir mensajes de estilo propagandístico y atacaron a toda la industria financiera del país. 

En un caso del 20 de agosto, relacionado con una empresa constructora, los atacantes advirtieron que los datos robados tenían "valor de inteligencia militar". El mensaje afirmaba que los planos y dibujos de cientos de proyectos completados, incluyendo puentes y tanques de gas natural licuado, ya eran de acceso público. 

“Ya se está preparando un informe sobre el contenido de estos documentos para el camarada Kim Jong-un”, se leía en una de las discusiones filtradas en los foros de Qilin, insinuando que los piratas informáticos estaban compartiendo información con del grupo en Corea del Norte .

Qilin roba 2 TB de datos en tres oleadas

Según Bitdefender, la operación Korean Leaks se desarrolló en tres oleadas que resultaron en el robo de más de un millón de archivos y 2 TB de datos de 28 víctimas conocidas. Las publicaciones vinculadas a cuatro entidades adicionales fueron posteriormente eliminadas del sitio de la filtración de datos, lo que podría deberse al pago de rescates o a decisiones internas de los operadores.

La primera ola se publicó el 14 de septiembre e incluyó a 10 víctimas del sector de la gestión financiera. La segunda ola se produjo entre el 17 y el 19 de septiembre, añadiendo nueve casos más, mientras que la tercera se publicó entre el 28 de septiembre y el 4 de octubre, afectando a otras nueve organizaciones. 

“Tenemos datos de docenas de empresas. La filtración de Corea es motivo para retirar dinero de la bolsa del país, porque tenemos un volumen de datos cuya publicación defiduda asestará un duro golpe a todo el mercado coreano. Y defiduda lo haremos”, decía una amenaza de los hackers durante la segunda ola.

Bitdefender dijo que los atacantes enmarcaron la campaña como un esfuerzo por exponer la corrupción, incluyendo amenazas de publicar documentos que podrían ser "evidencia de manipulación del mercado de valores" y nombres de "políticos y empresarios conocidos en Corea".

El 23 de septiembre, la publicación de noticias coreana JoongAng Daily informó que más de 20 empresas de gestión de activos habían sido infectadas con ransomware después de la violación de un proveedor de servicios llamado GJTec.