Microsoft ha hallado una nueva variante del ransomware FakePenny, la cual está usando un actor de amenazas de Corea del Norte con el fin de atacar a organizaciones en los sectores industriales de software, tecnología de la información, educación y defensa.
La empresa dirigida por Satya Nadella sospecha que sus motivaciones son tanto espionaje e inteligencia como la obtención de ganancias monetarias.
La compañía de Redmond, que rastrea al grupo de ciberdelincuentes como Moonstone Sleet, pudo constatar como este grupo entregaba una nueva variante de ransomware personalizado en abril a una compañía no revelada, cuyas redes comprometió un par de meses atrás.
Lo llamativo es que era la primera vez que Microsoft observaba a este actor de amenazas implementando ransomware.
Se trata de un ransomware bastante simple que contiene un cargador y un módulo de cifrado. Sin embargo, FakePenny exige demandas de rescate muy elevadas, que en algunos casos han alcanzado los 6,6 millones de dólares en Bitcoin.
Desde Microsoft comentan como "esto contrasta marcadamente con las menores demandas de rescate de anteriores ataques de ransomware de Corea del Norte, como WannaCry 2.0 y H0lyGh0st".
Como particularidad, la nota de rescate utilizada por el ransomware FakePenny se asemejaría mucho a la empleada en el infame ataque de NotPetya, que se cree fue responsabilidad del grupo norcoreano Seashell Blizzard.
Modus operandi de Moonstone Sleet
El actor de amenazas tras esta nueva variante cuenta con diversas acciones y estrategias dirigidas a sustentar sus objetivos financieros y de espionaje.
Según se hace eco The Cyber Express, crea empresas falsas, emplea versiones troyanizadas de herramientas legítimas e incluso desarrolla juegos maliciosos para infiltrarse en los objetivos. Además, puede realizar operaciones simultáneas y evolucionar y adaptar rápidamente sus técnicas.
Los ataques notables de Moonstone Sleet incluyen comprometer a una empresa de tecnología de defensa para robar credenciales y propiedad intelectual y desplegar ransomware contra una empresa de tecnología de drones.
Para protegerse contra Moonstone Sleet, Microsoft recomienda la detección y respuesta de endpoints (EDR), implementar reglas de reducción de la superficie de ataque para bloquear el contenido ejecutable de clientes de email y correo web, evitar que los archivos ejecutables se ejecuten a menos que cumplan con criterios específicos, usar protección avanzada contra ransomware y bloquear robo de credenciales de LSASS.