Hacker russi e nordcoreani rubano 2 TB di dati dalle banche sudcoreane

Il settore finanziario della Corea del Sud è stato colpito da un attacco coordinato alla catena di approvvigionamento, collegato ad attori di minacce russi e nordcoreani, che ha portato all'impiego del ransomware Qilin e al furto di dati sensibili, ha confermato la società di sicurezza informatica Bitdefender.

Durante la compilazione della ricerca per il suo rapporto Threat Debrief di ottobre, Bitdefender ha affermato di aver iniziato a indagare sulla campagna dopo aver notato un insolito aumento deglidentransomware in Corea del Sud a settembre. 

Nel Paese si sono registrati 25 attacchi in quel mese, una differenza notevole rispetto alla media mensile di soli due casi registrati tra settembre 2024 e agosto di quest'anno. 

La Corea del Sud presa di mira dagli attacchi ransomware Qilin

Secondo il rapporto pubblicato lunedì scorso, la Corea del Sud è diventata il secondo Paese più colpito dai ransomware quest'anno, dopo gli Stati Uniti. Su circa 33 casi identificati, la società di sicurezza informatica hadent25 casi attribuibili al gruppo ransomware Qilin e 24 delle entità compromesse appartenevano al settore finanziario. 

"Questa operazione ha unito le capacità di un importante gruppo Ransomware-as-a-Service (RaaS), Qilin, con il potenziale coinvolgimento di attori affiliati allo stato nordcoreano (Moonstone Sleet), sfruttando la compromissione del Managed Service Provider (MSP) come vettore di accesso iniziale", si legge nel rapporto.

Qilin è uno dei gruppi ransomware quest'anno, operando con un modello Ransomware-as-a-Service e mietendo oltre 180 vittime solo nel mese di ottobre. Secondo i dati di threat intelligence di NCC Group, l' operazione è responsabile del 29% di tutti gli attacchi ransomware a livello globale.

Sebbene il nome del gruppo derivi da una creatura mitologica cinese, Bitdefender ritiene che Qilin abbia origini russe. Le sue indagini hanno scoperto che uno dei membri fondatori, "BianLian", comunica in russo e in inglese ed è molto attivo sui forum di cybercriminalità in lingua russa. 

Il gruppo evita inoltre di attaccare organizzazioni nella Comunità degli Stati Indipendentident una regola comune tra le operazioni ransomware con sede in Russia.

Qilin recluta hacker per portare a termine i suoi attacchi, mentre gli operatori principali si accaparrano una parte dei profitti illeciti. Il gruppo si vanta anche di avere "un team interno di giornalisti" per aiutare gli affiliati a creare messaggi e post estorsivi per la sua piattaforma di fuga di dati.

Secondo l'analisi di Bitdefender sulla campagna Korean Leaks, gli hacker si sono spacciati per "attivisti" e "patrioti" utilizzando un linguaggio politico per produrre messaggi in stile propaganda e hanno preso di mira l'intero settore finanziario del Paese. 

In un caso del 20 agosto che coinvolgeva un'impresa edile, gli aggressori avvertivano che i dati rubati avevano "valore di intelligence militare". Il messaggio affermava che i piani e i disegni di centinaia di progetti completati, tra cui ponti e serbatoi di gas naturale liquefatto, erano ora accessibili al pubblico. 

"Un rapporto su quanto emerso da questi documenti è già in preparazione per il compagno Kim Jong-un", si legge in una delle discussioni trapelate dai forum di Qilin, il che insinuava che gli hacker stessero condividendo informazioni con i del gruppo nordcoreano .

Qilin ruba dati per un totale di 2 TB in tre ondate

Secondo Bitdefender, l'operazione Korean Leaks si è sviluppata in tre ondate, che hanno portato al furto di oltre 1 milione di file e 2 TB di dati da 28 vittime note. I post collegati ad altre quattro entità sono stati successivamente rimossi dal sito della fuga di dati, il che potrebbe essere dovuto al pagamento di un riscatto o a decisioni interne degli operatori.

La prima ondata è stata pubblicata il 14 settembre e ha coinvolto 10 vittime del settore della gestione finanziaria. La seconda ondata è seguita tra il 17 e il 19 settembre, aggiungendo altri nove casi, mentre la terza è stata pubblicata tra il 28 settembre e il 4 ottobre, prendendo di mira altre nove organizzazioni. 

"Abbiamo dati su decine di aziende. Il Korean Leak è un motivo per ritirare denaro dal mercato azionario del Paese, perché abbiamo un volume di dati la cui pubblicazione infliggerà defiun duro colpo all'intero mercato coreano. E lo faremo defi", si leggeva in una minaccia degli hacker durante la seconda ondata.

Bitdefender ha affermato che gli aggressori hanno presentato la campagna come un tentativo di denunciare la corruzione, comprese minacce di pubblicazione di documenti che potrebbero essere "prove di manipolazione del mercato azionario" e nomi di "noti politici e uomini d'affari in Corea".

Il 23 settembre, il quotidiano coreano JoongAng Daily ha riferito che più di 20 società di gestione patrimoniale erano state infettate da un ransomware dopo la violazione dei dati di un fornitore di servizi chiamato GJTec.