Российские и северокорейские хакеры украли 2 ТБ данных из южнокорейских банков

Компания Bitdefender, занимающаяся кибербезопасностью, подтвердила, что финансовая отрасль Южной Кореи пострадала от скоординированной атаки на цепочку поставок, связанной с российскими и северокорейскими злоумышленниками, что привело к развертыванию вируса-вымогателя Qilin и краже конфиденциальных данных.

При подготовке исследования для своего октябрьского отчета Threat Debrief компания Bitdefender заявила, что начала расследование кампании после того, как в сентябре заметила необычный всплескdentс программами-вымогателями в Южной Корее. 

В этом месяце в стране было зафиксировано 25 нападений, что существенно отличается от среднемесячного показателя, составляющего всего два случая, зафиксированных в период с сентября 2024 года по август этого года. 

Южная Корея подверглась атакам вируса-вымогателя Qilin

Согласно отчету , опубликованному в прошлый понедельник, Южная Корея стала второй страной, наиболее пострадавшей от программ-вымогателей в этом году, уступая только Соединенным Штатам. Поdent, примерно в 33 случаях 25 были связаны с группой программ-вымогателей Qilin, а 24 из скомпрометированных организаций относятся к финансовой отрасли. 

«Эта операция объединила возможности крупной группировки Qilin, занимающейся разработкой программ-вымогателей как услуг (RaaS), с потенциальным участием северокорейских государственных структур (Moonstone Sleet), используя взлом поставщика управляемых услуг (MSP) в качестве начального вектора доступа», — говорится в отчете.

Qilin — одна из самых активных группировок , занимающихся распространением программ-вымогателей в этом году. Она работает по модели «программы-вымогатели как услуга» и только в октябре зафиксировала более 180 жертв. По данным аналитиков NCC Group, на эту группировку приходится 29% всех атак программ-вымогателей в мире.

Хотя название группы происходит от китайского мифического существа, Bitdefender считает, что Qilin имеет русские корни. Расследование показало, что один из основателей группы, «BianLian», общается на русском и английском языках и проявляет высокую активность на русскоязычных форумах, посвящённых киберпреступности. 

Группа также избегает атак на организации в странах Содружества Независимыхdent , что является общим правилом для операций по вымогательству, базирующихся в России.

Qilin вербует хакеров для проведения своих атак, в то время как основные операторы получают долю от незаконной прибыли. Группировка также гордится наличием «внутренней команды журналистов», которые помогают аффилированным лицам создавать вымогательские сообщения и посты для своей платформы для утечки данных.

По данным анализа кампании Korean Leaks, проведенного Bitdefender, хакеры выдавали себя за «активистов» и «патриотов», используя политический язык для создания сообщений в пропагандистском стиле и нацеливаясь на финансовую отрасль всей страны. 

В одном из случаев, произошедших 20 августа и затронувших строительную компанию, злоумышленники предупредили, что украденные данные представляют «ценность для военной разведки». В сообщении утверждалось, что планы и чертежи сотен завершённых проектов, включая мосты и резервуары для сжиженного природного газа, теперь стали общедоступными. 

«Отчет об обнаруженных в этих документах уже готовится для товарища Ким Чен Ына», — говорилось в одном из просочившихся в сеть обсуждений на форумах Qilin, намекая на то, что хакеры делились информацией с северокорейским групповым руководством.

Qilin похищает данные общим объемом 2 ТБ за три волны

По данным Bitdefender, операция Korean Leaks проводилась в три этапа, в результате которых было украдено более 1 миллиона файлов и 2 ТБ данных у 28 известных жертв. Публикации, связанные с четырьмя другими организациями, были впоследствии удалены с сайта, где произошла утечка данных, что могло быть связано с выплатой выкупа или внутренними решениями операторов.

Первая волна была опубликована 14 сентября и включала 10 жертв из сферы финансового управления. Вторая волна последовала с 17 по 19 сентября, добавив ещё девять случаев, а третья волна была опубликована с 28 сентября по 4 октября и затронула ещё девять организаций. 

«У нас есть данные о десятках компаний. Корейская утечка — повод вывести деньги с фондового рынка страны, поскольку у нас есть объём данных, публикация которого, defi, нанесёт серьёзный удар по всему корейскому рынку. И мы defiэто сделаем», — гласила одна из угроз хакеров во время второй волны.

Bitdefender заявил, что злоумышленники представляли кампанию как попытку разоблачить коррупцию, включая угрозы опубликовать документы, которые могут быть «доказательством манипуляций на фондовом рынке», а также имена «известных политиков и бизнесменов в Корее».

23 сентября корейское новостное издание JoongAng Daily сообщило, что более 20 компаний по управлению активами были заражены вирусом-вымогателем после взлома поставщика услуг GJTec.