Grupo Lázaro

Organización de delitos cibernéticos

El Grupo Lazarus (también conocido como Guardianes de la Paz o Equipo Whois ^{[1] [2] [3]} ) es un grupo de hackers formado por un número desconocido de individuos, presuntamente dirigido por el gobierno de Corea del Norte . Aunque no se sabe mucho sobre el Grupo Lazarus, los investigadores les han atribuido muchos ciberataques desde 2010. Originalmente un grupo criminal, el grupo ha sido designado ahora como una amenaza persistente avanzada debido a la naturaleza prevista, la amenaza y la amplia gama de métodos utilizados al realizar una operación. Los nombres dados por las organizaciones de ciberseguridad incluyen Hidden Cobra (utilizado por el Departamento de Seguridad Nacional de los Estados Unidos para referirse a la actividad cibernética maliciosa del gobierno de Corea del Norte en general) ^{[4] [5]} y ZINC o Diamond Sleet ^[6] (por Microsoft ). ^{[7] [8] [9]} Según el desertor norcoreano Kim Kuk-song, la unidad se conoce internamente en Corea del Norte como Oficina de Enlace 414. ^[10]

El Grupo Lazarus tiene fuertes vínculos con Corea del Norte . ^{[11] [12]} El Departamento de Justicia de los Estados Unidos ha afirmado que el grupo es parte de la estrategia del gobierno norcoreano para "socavar la ciberseguridad global... y generar ingresos ilícitos en violación de... las sanciones". ^[13] Corea del Norte se beneficia de realizar operaciones cibernéticas porque puede presentar una amenaza asimétrica con un pequeño grupo de operadores, especialmente para Corea del Sur. ^[14]

Historia

El primer ataque conocido del que es responsable el grupo se conoce como "Operación Troya", que tuvo lugar entre 2009 y 2012. Se trató de una campaña de ciberespionaje que utilizó técnicas poco sofisticadas de ataques distribuidos de denegación de servicio (DDoS) para atacar al gobierno de Corea del Sur en Seúl. También fueron responsables de ataques en 2011 y 2013. Es posible que también estuvieran detrás de un ataque de 2007 dirigido a Corea del Sur, pero eso aún es incierto. ^[15] Un ataque notable por el que el grupo es conocido es el ataque de 2014 a Sony Pictures . El ataque a Sony utilizó técnicas más sofisticadas y destacó lo avanzado que se ha vuelto el grupo con el tiempo.

El FBI quería obtener información sobre uno de los hackers del Grupo Lazarus, Park Jin Hyok

Se informó que el Grupo Lazarus robó 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015. ^[16] También han atacado bancos en Polonia y México. ^[17] El robo bancario de 2016 ^[18] incluyó un ataque al Banco de Bangladesh , en el que lograron robar 81 millones de dólares y que se atribuyó al grupo. En 2017, se informó que el grupo Lazarus había robado 60 millones de dólares del Far Eastern International Bank de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos fueron recuperados. ^[17]

No está claro quién está realmente detrás del grupo, pero los informes de los medios han sugerido que el grupo tiene vínculos con Corea del Norte . ^{[19] [20] [17]} Kaspersky Lab informó en 2017 que Lazarus tendía a concentrarse en ciberataques de espionaje e infiltración, mientras que un subgrupo dentro de su organización, al que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un vínculo directo ( dirección IP ) entre Bluenoroff y Corea del Norte. ^[21]

Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una “falsa bandera” destinada a engañar a los investigadores y culpar del ataque a Corea del Norte, dado que el ciberataque mundial del gusano WannaCry también copió técnicas de la NSA. Este ransomware aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de hackers conocido como Shadow Brokers hizo público en abril de 2017. ^[22] Symantec informó en 2017 que era “muy probable” que Lazarus estuviera detrás del ataque WannaCry. ^[23]

Operación Troya 2009

El primer ataque de piratería informática importante del grupo Lazarus tuvo lugar el 4 de julio de 2009 y dio inicio a la "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de Estados Unidos y Corea del Sur. La serie de ataques afectó a unas tres docenas de sitios web y colocó el texto "Memoria del Día de la Independencia" en el registro de arranque maestro (MBR).

Ciberataque en Corea del Sur en 2013 (Operación 1/Misión DarkSeoul)

Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han desarrollado mejor y son más efectivas. El ataque de marzo de 2011 conocido como "Ten Days of Rain" tuvo como objetivo los medios de comunicación, las finanzas y la infraestructura crítica de Corea del Sur, y consistió en ataques DDoS más sofisticados que se originaron en computadoras comprometidas dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013, con DarkSeoul, un ataque de borrado que tuvo como objetivo tres empresas de radiodifusión, instituciones financieras y un ISP de Corea del Sur. En ese momento, otros dos grupos que se hacían pasar por "NewRomanic Cyber ​​Army Team y WhoIs Team" se atribuyeron el crédito por ese ataque, pero los investigadores no sabían que el Grupo Lazarus estaba detrás de él en ese momento. Los investigadores hoy conocen al Grupo Lazarus como un supergrupo detrás de los ataques disruptivos. ^[24]

Finales de 2014: violación de datos de Sony

Los ataques del Grupo Lazarus culminaron el 24 de noviembre de 2014. Ese día, apareció una publicación en Reddit que decía que Sony Pictures había sido hackeada por medios desconocidos; los perpetradores se identificaron como los "Guardianes de la Paz". Grandes cantidades de datos fueron robadas y filtradas lentamente en los días posteriores al ataque. Una entrevista con alguien que afirmaba ser parte del grupo afirmó que habían estado extrayendo datos de Sony durante más de un año. ^[25]

Los piratas informáticos pudieron acceder a películas inéditas, guiones de ciertas películas, planes para futuras películas, información sobre los salarios de los ejecutivos de la empresa, correos electrónicos y la información personal de alrededor de 4.000 empleados. ^[26]

Investigación de principios de 2016: Operación Blockbuster

Bajo el nombre de “Operación Blockbuster”, una coalición de empresas de seguridad, liderada por Novetta, ^{[27] [28]} logró analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Con esos datos, el equipo pudo analizar los métodos utilizados por los piratas informáticos. Vincularon al Grupo Lazarus con una serie de ataques a través de un patrón de reutilización de código. ^[29]

Robo cibernético al Banco de Bangladesh en 2016

El robo cibernético al Banco de Bangladesh se produjo en febrero de 2016. Los piratas informáticos emitieron treinta y cinco instrucciones fraudulentas a través de la red SWIFT para transferir ilegalmente cerca de mil millones de dólares desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh, el banco central de Bangladesh. Cinco de las treinta y cinco instrucciones fraudulentas lograron transferir 101 millones de dólares, de los cuales 20 millones se rastrearon hasta Sri Lanka y 81 millones hasta Filipinas. El Banco de la Reserva Federal de Nueva York bloqueó las treinta transacciones restantes, por un valor de 850 millones de dólares, debido a las sospechas que suscitó una instrucción mal escrita. ^{[30] [31]} Los expertos en ciberseguridad afirmaron que el Grupo Lazarus, con sede en Corea del Norte, estaba detrás del ataque. ^{[32] [33]}

Ataque de ransomware WannaCry en mayo de 2017

El ataque WannaCry fue un ciberataque masivo de ransomware que afectó a instituciones de todo el mundo, desde el NHS en Gran Bretaña hasta Boeing e incluso a universidades en China el 12 de mayo de 2017. El ataque duró 7 horas y 19 minutos. Europol estima que afectó a casi 200.000 computadoras en 150 países, afectando principalmente a Rusia, India, Ucrania y Taiwán. Este fue uno de los primeros ataques de un criptogusano . Los criptogusanos son una clase de malware que viaja entre computadoras usando redes, sin requerir una acción directa del usuario para la infección, en este caso, explotando el puerto TCP 445. [ ^34] Para infectarse, no es necesario hacer clic en un enlace malicioso: el malware puede propagarse de forma autónoma, desde una computadora a una impresora conectada, y luego a computadoras adyacentes, tal vez conectadas al wifi, etc. La vulnerabilidad del puerto 445 permitió que el malware se moviera libremente a través de intranets e infectara miles de computadoras rápidamente. El ataque Wannacry fue uno de los primeros usos a gran escala de un criptogusano. ^{[35] [36]}

Ataque

El virus aprovechó una vulnerabilidad del sistema operativo Windows y luego encriptó los datos del ordenador a cambio de una suma de Bitcoin de aproximadamente 300 dólares para obtener la clave. Para incentivar el pago, la demanda de rescate se duplicó después de tres días y, si no se pagaba en una semana, el malware borraba los archivos de datos encriptados. El malware utilizó un software legítimo llamado Windows Crypto, creado por Microsoft para codificar los archivos. Una vez que se completó el cifrado, el nombre del archivo tiene "Wincry" adjunto, que es la raíz del nombre Wannacry. Wincry fue la base del cifrado, pero el malware utilizó dos exploits adicionales, EternalBlue y DoublePulsar , para convertirlo en un criptogusano. EternalBlue propaga automáticamente el virus a través de las redes, mientras que DoublePulsar lo activa en el ordenador de la víctima. En otras palabras, EternalBlue obtuvo el enlace infectado en su ordenador y DoublePulsar hizo clic en él por usted. ^[36]

El investigador de seguridad Marcus Hutchins puso fin al ataque cuando recibió una copia del virus de un amigo de una empresa de investigación de seguridad y descubrió un interruptor de seguridad codificado en el virus. El malware incluía una comprobación periódica para ver si se había registrado un nombre de dominio específico y solo procedía a la encriptación si ese nombre de dominio no existía. Hutchins identificó esta comprobación y luego registró rápidamente el dominio relevante a las 3:03 pm UTC. El malware dejó de propagarse inmediatamente y de infectar nuevas máquinas. Esto fue muy interesante y es una pista sobre quién creó el virus. Por lo general, detener el malware requiere meses de lucha de ida y vuelta entre los piratas informáticos y los expertos en seguridad, por lo que esta victoria fácil fue inesperada. Otro aspecto muy interesante e inusual del ataque fue que los archivos no se pudieron recuperar después de pagar el rescate: solo se recaudaron $160,000, lo que llevó a muchos a creer que los piratas informáticos no estaban detrás del dinero. ^[36]

El fácil interruptor de apagado y la falta de ingresos llevaron a muchos a creer que el ataque fue patrocinado por el estado; el motivo no fue una compensación financiera, sino simplemente causar caos. Después del ataque, los expertos en seguridad rastrearon el exploit DoublePulsar hasta la NSA de los Estados Unidos, donde el exploit había sido desarrollado como un arma cibernética . El exploit fue robado por el grupo de piratas informáticos Shadow Brokers, que primero intentó subastarlo, pero después de no hacerlo simplemente lo regaló. ^[36] Posteriormente, la NSA reveló la vulnerabilidad a Microsoft, que emitió una actualización el 14 de marzo de 2017, poco menos de un mes antes de que ocurriera el ataque. No fue suficiente. La actualización no era obligatoria y la mayoría de las computadoras con la vulnerabilidad no habían resuelto el problema cuando llegó el 12 de mayo, lo que llevó a la asombrosa efectividad del ataque.

Secuelas

El Departamento de Justicia de Estados Unidos y las autoridades británicas atribuyeron posteriormente el ataque WannaCry al grupo de piratas informáticos norcoreano Lazarus. ^[13]

Ataques a criptomonedas en 2017

En 2018, Recorded Future publicó un informe que vinculaba al Grupo Lazarus con ataques a usuarios de criptomonedas Bitcoin y Monero principalmente en Corea del Sur. ^[37] Se informó que estos ataques eran técnicamente similares a ataques anteriores que usaban el ransomware WannaCry y los ataques a Sony Pictures. ^[38] Una de las tácticas utilizadas por los piratas informáticos de Lazarus fue explotar vulnerabilidades en Hangul de Hancom , un software de procesamiento de textos de Corea del Sur. ^[38] Otra táctica fue utilizar señuelos de phishing que contenían malware y que se enviaban a estudiantes surcoreanos y usuarios de intercambios de criptomonedas como Coinlink. Si el usuario abría el malware, robaba direcciones de correo electrónico y contraseñas. ^[39] Coinlink negó que su sitio o los correos electrónicos y contraseñas de los usuarios hubieran sido pirateados. ^[39] El informe concluyó que “Esta campaña de finales de 2017 es una continuación del interés de Corea del Norte en las criptomonedas, que ahora sabemos que abarca una amplia gama de actividades que incluyen la minería, el ransomware y el robo directo...” ^[37] El informe también dijo que Corea del Norte estaba usando estos ataques a las criptomonedas para evitar sanciones financieras internacionales. ^[40]

Los piratas informáticos norcoreanos robaron 7 millones de dólares estadounidenses de Bithumb , una plataforma de intercambio de Corea del Sur, en febrero de 2017. ^[41] Youbit, otra empresa de intercambio de Bitcoin de Corea del Sur, se declaró en quiebra en diciembre de 2017 después de que el 17% de sus activos fueran robados por ciberataques tras un ataque anterior en abril de 2017. ^[42] Lazarus y los piratas informáticos norcoreanos fueron culpados por los ataques. ^{[43] [37]} Nicehash , un mercado de minería en la nube de criptomonedas, perdió más de 4500 Bitcoin en diciembre de 2017. Una actualización sobre las investigaciones afirmó que el ataque está vinculado al Grupo Lazarus. ^[44]

Atentados de septiembre de 2019

A mediados de septiembre de 2019, Estados Unidos emitió una alerta pública sobre una nueva versión de malware denominada ElectricFish. ^[45] Desde principios de 2019, agentes norcoreanos han intentado cinco robos cibernéticos importantes en todo el mundo, incluido un robo exitoso de 49 millones de dólares de una institución en Kuwait . ^[45]

Ataques a empresas farmacéuticas a finales de 2020

Debido a la actual pandemia de COVID-19 , las compañías farmacéuticas se convirtieron en objetivos importantes para el Grupo Lazarus. Utilizando técnicas de phishing, los miembros del Grupo Lazarus se hicieron pasar por funcionarios de salud y contactaron a empleados de compañías farmacéuticas con enlaces maliciosos. Se cree que varias organizaciones farmacéuticas importantes fueron atacadas, pero la única que se ha confirmado fue AstraZeneca , de propiedad anglo-sueca . Según un informe de Reuters, ^[46] una amplia gama de empleados fueron atacados, incluidos muchos involucrados en la investigación de la vacuna COVID-19. Se desconoce cuál era el objetivo del Grupo Lazarus en estos ataques, pero las posibilidades probables incluyen:

• Robo de información confidencial para venderla y obtener ganancias.
• Esquemas de extorsión.
• Dar a regímenes extranjeros acceso a investigaciones patentadas sobre COVID-19.

AstraZeneca no ha hecho comentarios sobre el incidente y los expertos no creen que ningún dato sensible haya sido comprometido hasta el momento. ^{[ ¿a fecha? ]}

Ataques de enero de 2021 dirigidos a investigadores de ciberseguridad

En enero de 2021, Google y Microsoft informaron públicamente sobre un grupo de piratas informáticos norcoreanos que atacaban a investigadores de ciberseguridad a través de una campaña de ingeniería social ; Microsoft atribuyó específicamente la campaña al Grupo Lazarus. ^{[47] [48] [49]}

Los piratas informáticos crearon varios perfiles de usuario en Twitter , GitHub y LinkedIn haciéndose pasar por investigadores legítimos de vulnerabilidades de software , y utilizaron esos perfiles para interactuar con publicaciones y contenidos realizados por otros miembros de la comunidad de investigación de seguridad. Los piratas informáticos se dirigían a investigadores de seguridad específicos contactándolos directamente con una oferta para colaborar en la investigación, con el objetivo de lograr que la víctima descargue un archivo que contenga malware o visite una publicación de blog en un sitio web controlado por los piratas informáticos. ^[49]

Algunas víctimas que visitaron la publicación del blog informaron que sus computadoras se vieron comprometidas a pesar de usar versiones completamente parcheadas del navegador Google Chrome , lo que sugiere que los piratas informáticos pueden haber utilizado una vulnerabilidad de día cero previamente desconocida que afectaba a Chrome para el ataque; ^[47] sin embargo, Google declaró que no pudieron confirmar el método exacto de compromiso en el momento del informe. ^[48]

Juego en línea Axie Infinity Attack de marzo de 2022

En marzo de 2022, el Grupo Lazarus fue declarado responsable de robar 620 millones de dólares en criptomonedas de la Red Ronin, un puente utilizado por el juego Axie Infinity . ^[50] El FBI dijo: "A través de nuestras investigaciones pudimos confirmar que el Grupo Lazarus y APT38, actores cibernéticos asociados con [Corea del Norte], son responsables del robo". ^[51]

Ataque en el puente Horizon de junio de 2022

El FBI confirmó que el grupo de actores cibernéticos maliciosos norcoreanos Lazarus (también conocido como APT38) fue responsable del robo de 100 millones de dólares en moneda virtual del puente Horizon de Harmony, reportado el 24 de junio de 2022. ^[52]

Ataques a criptomonedas en 2023

Un informe publicado por la plataforma de seguridad blockchain Immunefi afirmó que Lazarus fue responsable de más de 300 millones de dólares en pérdidas en incidentes de piratería de criptomonedas en 2023. La cantidad representa el 17,6% de las pérdidas totales del año. ^[50]

Ataque a Atomic Wallet en junio de 2023

En junio de 2023, más de 100 millones de dólares en criptomonedas fueron robados a los usuarios del servicio Atomic Wallet, ^[53] y esto fue confirmado posteriormente por el FBI. ^[54]

Hackeo de Stake.com en septiembre de 2023

En septiembre de 2023, el FBI confirmó que el Grupo Lazarus perpetró un robo de 41 millones de dólares en criptomonedas de Stake.com, una plataforma de apuestas y casino en línea. ^[55]

Sanciones de EE.UU.

El 14 de abril de 2022, la OFAC del Departamento del Tesoro de Estados Unidos incluyó a Lazarus en la Lista SDN de conformidad con la sección 510.214 del Reglamento de Sanciones contra Corea del Norte. ^[56]

Ataque de criptomonedas en 2024

Según informes de los medios indios, un intercambio de criptomonedas local llamado WazirX fue hackeado por el grupo y se robaron activos criptográficos por valor de 234,9 millones de dólares. ^[57]

Educación

Los piratas informáticos norcoreanos son enviados vocacionalmente a Shenyang , China, para recibir un entrenamiento especial. Se los entrena para implementar malware de todo tipo en computadoras, redes informáticas y servidores. La educación en el país incluye la Universidad Tecnológica Kim Chaek , la Universidad Kim Il-sung y la Universidad Moranbong, que selecciona a los estudiantes más brillantes de todo el país y los somete a seis años de educación especial. ^{[10] [58]}

Unidades

Se cree que Lázaro tiene dos unidades. ^{[59] [60]}

AzulNorOff

BlueNorOff (también conocido como: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE ^[61] ) es un grupo con motivaciones financieras que es responsable de las transferencias ilegales de dinero a través de órdenes falsificadas de SWIFT . BlueNorOff también se llama APT38 (por Mandiant ) y Stardust Chollima (por Crowdstrike ). ^{[62] [63]}

Según un informe de 2020 del ejército estadounidense, Bluenoroff tiene alrededor de 1.700 miembros que llevan a cabo delitos financieros cibernéticos concentrándose en la evaluación a largo plazo y explotando las vulnerabilidades y los sistemas de la red enemiga para obtener ganancias financieras para el régimen o para tomar el control del sistema. ^[64] Tienen como objetivo instituciones financieras y bolsas de criptomonedas, incluidas más de 16 organizaciones en al menos 13 países ^[a] entre 2014 y 2021: Bangladesh, Chile, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía y Vietnam. Se cree que los ingresos se destinan al desarrollo de tecnología nuclear y de misiles. ^{[61] [60]}

El ataque más infame de BlueNorOff fue el robo al Banco de Bangladesh en 2016 , en el que intentaron usar la red SWIFT para transferir ilegalmente cerca de 1.000 millones de dólares desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh , el banco central de Bangladesh. Después de que se realizaran varias de las transacciones (20 millones de dólares rastreados hasta Sri Lanka y 81 millones de dólares hasta Filipinas ), el Banco de la Reserva Federal de Nueva York bloqueó las transacciones restantes, debido a las sospechas generadas por un error ortográfico. ^[60]

El malware asociado con BlueNorOff incluye: " DarkComet , Mimikatz , Nestegg, Macktruck, WannaCry , Whiteout, Quickcafe, Rawhide , Smoothride, TightVNC , Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe , sysmon , Bootwreck, Cleantoad, Closeshave, Dyepack , Hermes, Twopence, Electricfish, Powerratankba y Powerspritz" ^[61]

Las tácticas comúnmente utilizadas por BlueNorOff incluyen: phishing, puertas traseras, ^[60] ataque drive-by, ataque watering hole , explotación de versiones inseguras y desactualizadas de Apache Struts 2 para ejecutar código en un sistema, ataque web estratégico y acceso a servidores Linux. ^[61] Se informa que a veces trabajan junto con piratas informáticos criminales. ^[65]

Y Ariel

AndAriel (también escrito Andarial, ^[64] y también conocido como: Silent Chollima, Dark Seoul, Rifle y Wassonite ^[61] ) se caracteriza logísticamente por su objetivo en Corea del Sur . El nombre alternativo de AndAriel se llama Silent Chollima debido a la naturaleza sigilosa del subgrupo. ^[66] Cualquier organización en Corea del Sur es vulnerable a AndAriel. Los objetivos incluyen el gobierno, la defensa y cualquier símbolo económico. ^{[67] [68]}

Según un informe de 2020 del Ejército de los EE. UU., Andarial tiene alrededor de 1600 miembros cuya misión es el reconocimiento, la evaluación de las vulnerabilidades de la red y el mapeo de la red enemiga para un posible ataque. ^[64] Además de Corea del Sur, también apuntan a otros gobiernos, infraestructuras y empresas. Los vectores de ataque incluyen: ActiveX, vulnerabilidades en el software de Corea del Sur, ataques de abrevadero , phishing selectivo (macro), productos de gestión de TI (antivirus, PMS) y cadena de suministro (instaladores y actualizadores). El malware utilizado incluye: Aryan, Gh0st RAT , Rifdoor, Phandoor y Andarat. ^[61]

Acusaciones

En febrero de 2021, el Departamento de Justicia de Estados Unidos acusó a tres miembros del Buró General de Reconocimiento , una agencia de inteligencia militar de Corea del Norte, de haber participado en varias campañas de piratería informática de Lazarus: Park Jin Hyok , Jon Chang Hyok y Kim Il Park. Jin Hyok ya había sido acusado a principios de septiembre de 2018. Los individuos no están bajo custodia estadounidense. Un canadiense y dos chinos también han sido acusados ​​de haber actuado como mulas de dinero y blanqueadores de dinero para el grupo Lazarus. ^{[69] [70]}

Véase también

• Oficina 121
• Kimsuki
• Relaciones entre Corea del Norte y Estados Unidos
• Park Jin Hyok
• Chollima de rebote

Notas

1. "según informes de prensa, había llevado a cabo con éxito tales operaciones contra bancos en Bangladesh, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía, Chile y Vietnam" ^[60]

Referencias

1. "Designaciones de Corea del Norte; Designación Global Magnitsky". Departamento del Tesoro de EE. UU . . 2019. GRUPO LAZARUS (también conocido como "APPLEWORM"; también conocido como "APT-C-26"; también conocido como "GRUPO 77"; también conocido como "GUARDIANS OF PEACE"; también conocido como "HIDDEN COBRA"; también conocido como "OFFICE 91"; también conocido como "RED DOT"; también conocido como "TEMP.HERMIT"; también conocido como "THE NEW ROMANTIC CYBER ARMY TEAM"; también conocido como "WHOIS HACKING TEAM"; también conocido como "ZINC"), Distrito de Potonggang...
2. "Lazarus Group | Documentación de InsightIDR". Rapid7 . Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Grupo 77, Guardián de la Paz, Guardianes de la Paz, Grupo Hastati, HIDDEN COBRA, Labyrinth Chollima, Lazarus, NewRomantic Cyber ​​Army Team, NICKEL ACADEMY, Operación AppleJesus, Operación DarkSeoul, Operación GhostSecret, Operación Troy, Silent Chollima, Subgrupo: Andariel, Subgrupo: Bluenoroff, Unidad 121, Equipo de piratería Whois, Equipo WHOis, ZINC
3. "NICKEL ACADEMY | Secureworks". secureworks.com . Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardianes de la Paz, HIDDEN COBRA (Gobierno de EE. UU.), High Anonymous, Labyrinth Chollima (CrowdStrike), Equipo del Nuevo Ejército Cibernético Romanic, Grupo NNPT, El Grupo Lazarus, ¿Quién soy yo?, Equipo Whois, ZINC (Microsoft)
4. "HIDDEN COBRA - Infraestructura de botnet DDoS de Corea del Norte | CISA". us-cert.cisa.gov . CISA. 2017.
5. "Grupo Lazarus, HIDDEN COBRA, Guardianes de la Paz, ZINC, NICKEL ACADEMY, Grupo G0032 | MITRE ATT&CK®". MITRE ATT&CK . Corporación MITRE.
6. "Cómo Microsoft nombra a los actores de amenazas". Microsoft . Consultado el 21 de enero de 2024 .
7. "Microsoft y Facebook desbaratan el ataque de malware ZINC para proteger a los clientes e Internet de las ciberamenazas en curso". Microsoft on the Issues . 2017-12-19 . Consultado el 2019-08-16 .
8. "El FBI frustra el malware de vigilancia norcoreano vinculado a Lazarus". IT PRO . 13 de mayo de 2019 . Consultado el 16 de agosto de 2019 .
9. Guerrero-Saade, Juan Andres; Moriuchi, Priscilla (16 de enero de 2018). "Corea del Norte atacó a usuarios de criptomonedas y casas de cambio de Corea del Sur en una campaña de finales de 2017". Futuro grabado . Archivado desde el original el 16 de enero de 2018.
10. "Drogas, armas y terrorismo: un desertor de alto perfil en la Corea del Norte de Kim". BBC News . 2021-10-10 . Consultado el 2021-10-11 .
11. "¿Quién es Lazarus? El nuevo colectivo de ciberdelincuencia de Corea del Norte". www.cyberpolicy.com . Consultado el 26 de agosto de 2020 .
12. Beedham, Matthew (9 de enero de 2020). "El grupo de hackers norcoreano Lazarus está usando Telegram para robar criptomonedas". Hard Fork | The Next Web . Consultado el 26 de agosto de 2020 .
13. "Programador respaldado por el régimen de Corea del Norte acusado de conspiración para llevar a cabo múltiples ataques e intrusiones cibernéticas". www.justice.gov . 2018-09-06 . Consultado el 2022-01-14 .
14. "BBC World Service - El robo de Lázaro, 10. Interruptor de seguridad". BBC . 20 de junio de 2021 . Consultado el 21 de abril de 2022 .
15. "Investigadores de seguridad afirman que el misterioso 'Grupo Lazarus' hackeó a Sony en 2014". The Daily Dot . 24 de febrero de 2016 . Consultado el 29 de febrero de 2016 .
16. "El malware de los atacantes de SWIFT está vinculado a más ataques financieros". Symantec . 2016-05-26 . Consultado el 2017-10-19 .
17. Ashok, India (17 de octubre de 2017). "Lazarus: piratas informáticos norcoreanos sospechosos de haber robado millones en un ciberatraco a un banco de Taiwán". International Business Times UK . Consultado el 19 de octubre de 2017 .
18. "Dos bytes para 951 millones de dólares". baesystemsai.blogspot.co.uk . Consultado el 15 de mayo de 2017 .
19. "Los expertos en seguridad afirman que los ataques cibernéticos están vinculados a Corea del Norte". The Telegraph . 2017-05-16 . Consultado el 2017-05-16 .
20. Solon, Olivia (15 de mayo de 2017). «El ransomware WannaCry tiene vínculos con Corea del Norte, según los expertos en ciberseguridad». The Guardian . ISSN  0261-3077 . Consultado el 16 de mayo de 2017 .
21. GReAT – Equipo de análisis e investigación global de Kaspersky Lab (3 de marzo de 2017). "Lazarus Under The Hood". Securelist . Consultado el 16 de mayo de 2017 .
22. El ransomware WannaCry tiene un vínculo con presuntos piratas informáticos norcoreanos (3 de marzo de 2017). "The Wired". Securelist . Consultado el 16 de mayo de 2017 .
23. "Más evidencias del 'vínculo' de WannaCry con piratas informáticos norcoreanos". BBC News . 2017-05-23 . Consultado el 2017-05-23 .
24. "Los hackers de Sony ya estaban causando estragos años antes de atacar a la empresa". WIRED . Consultado el 1 de marzo de 2016 .
25. "Sony fue atacada brutalmente: lo que sabemos y lo que no sabemos hasta ahora". WIRED . Consultado el 1 de marzo de 2016 .
26. "Un análisis del ataque informático a Sony en diciembre de 2014". www.riskbasedsecurity.com . 5 de diciembre de 2014. Archivado desde el original el 4 de marzo de 2016 . Consultado el 1 de marzo de 2016 .
27. Van Buskirk, Peter (1 de marzo de 2016). "Cinco razones por las que Operation Blockbuster es importante". Novetta . Archivado desde el original el 7 de julio de 2017 . Consultado el 16 de mayo de 2017 .
28. "Novetta expone la profundidad del ataque a Sony Pictures — Novetta". 24 de febrero de 2016. Archivado desde el original el 27 de enero de 2018. Consultado el 19 de junio de 2016 .
29. "Kaspersky Lab ayuda a desbaratar la actividad del Grupo Lazarus, responsable de múltiples y devastadores ciberataques | Kaspersky Lab". www.kaspersky.com . Archivado desde el original el 2016-09-01 . Consultado el 2016-02-29 .
30. Schram, Jamie (22 de marzo de 2016). "La congresista quiere que se investigue el 'descarado' robo de 81 millones de dólares de la Reserva Federal de Nueva York". New York Post .
31. Shapiro, Scott (2023). Fancy Bear Goes Phishing: La oscura historia de la era de la información, en cinco hackeos extraordinarios (1.ª ed.). Nueva York: Farrar, Straus and Giroux. p. 316. ISBN 978-0-374-60117-1.
32. "El grupo cibercriminal Lazarus hackeó el Banco de Bangladesh". thedailystar.net . 20 de abril de 2017 . Consultado el 13 de mayo de 2021 .
33. "Estados Unidos acusa a Corea del Norte de hackear el banco de Bangladesh". finextra.com . 6 de septiembre de 2018 . Consultado el 13 de mayo de 2021 .
34. "Cómo defenderse del puerto TCP 445 y otros ataques SMB". SearchSecurity . Consultado el 14 de enero de 2022 .
35. Storm, Darlene (13 de abril de 2016). "Criptogusanos: el futuro del infierno del ransomware". Computerworld . Consultado el 14 de enero de 2022 .
36. 10. Interruptor de apagado, 20 de junio de 2021 , consultado el 14 de enero de 2022
37. Al Ali, Nour (16 de enero de 2018). "Grupo de piratas informáticos de Corea del Norte se cree que está detrás de un ataque criptográfico en el Sur". Bloomberg.com . Consultado el 17 de enero de 2018 .
38. Kharpal, Arjun (17 de enero de 2018). "Los piratas informáticos respaldados por el gobierno de Corea del Norte están tratando de robar criptomonedas a los usuarios de Corea del Sur". CNBC . Consultado el 17 de enero de 2018 .
39. Mascarenhas, Hyacinth (17 de enero de 2018). "Lazarus: los piratas informáticos norcoreanos vinculados al ataque a Sony estuvieron detrás de los ataques a criptomonedas en Corea del Sur". International Business Times UK . Consultado el 17 de enero de 2018 .
40. Limitone, Julia (17 de enero de 2018). «Bitcoin y otras criptomonedas en la mira de los piratas informáticos norcoreanos, según revela un informe». Fox Business . Consultado el 17 de enero de 2018 .
41. Ashford, Warwick (17 de enero de 2018). «Hackers norcoreanos vinculados a ataques con criptomonedas en Corea del Sur». Computer Weekly . Consultado el 17 de enero de 2018 .
42. "Intercambio de criptomonedas de Corea del Sur se declara en quiebra tras un ataque informático". The Straits Times . 2017-12-20 . Consultado el 17 de enero de 2018 .
43. "Los analistas afirman que los intercambios de bitcoins están en la mira de los piratas informáticos norcoreanos". MSN Money . 2017-12-21. Archivado desde el original el 2018-01-18 . Consultado el 2018-01-17 .
44. "Actualización de la investigación sobre la violación de seguridad de NiceHash – NiceHash". NiceHash . Consultado el 13 de noviembre de 2018 .
45. Volz (16 de septiembre de 2019). «Estados Unidos considera que el hackeo norcoreano constituye una amenaza a la seguridad nacional». MSN . Consultado el 16 de septiembre de 2019 .
46. Stubbs, Jack (27 de noviembre de 2020). "Exclusiva: presuntos piratas informáticos norcoreanos atacaron al fabricante de vacunas COVID-19 AstraZeneca, según fuentes". Reuters .
47. Newman, Lily Hay. "Corea del Norte ataca y engaña a una serie de profesionales de la ciberseguridad". Wired . ISSN  1059-1028 . Consultado el 17 de marzo de 2023 .
48. "Nueva campaña dirigida a investigadores de seguridad". Google . 2021-01-25 . Consultado el 2023-03-13 .
49. Intelligence, Microsoft Threat Intelligence Center (MSTIC), Microsoft Defender Threat (28 de enero de 2021). «Ataques de ZINC contra investigadores de seguridad». Blog de seguridad de Microsoft . Consultado el 13 de marzo de 2023 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
50. "El grupo Lazarus, vinculado a Corea del Norte, es responsable de casi el 20 % de las pérdidas de criptomonedas (más de 300 millones de dólares) en 2023". Fortune Crypto . Consultado el 15 de diciembre de 2023 .
51. "Los piratas informáticos norcoreanos atacan a jugadores en un robo de criptomonedas por valor de 615 millones de dólares, según EE. UU." BBC News . 2022-04-15 . Consultado el 2022-04-15 .
52. "El FBI confirma que los ciberagentes del Grupo Lazarus son responsables del robo de divisas del puente Horizon de Harmony". Oficina Federal de Investigaciones . Consultado el 22 de marzo de 2023 .
53. Satter, Raphael (13 de junio de 2023). "Los piratas informáticos norcoreanos robaron 100 millones de dólares en un reciente robo de criptomonedas, según los analistas". Reuters . Consultado el 5 de diciembre de 2023 .
54. "El FBI identifica fondos de criptomonedas robados por la RPDC". FBI . 22 de agosto de 2023.
55. "El FBI identifica a los ciberdelincuentes del Grupo Lazarus como responsables del robo de 41 millones de dólares de Stake.com". FBI . 6 de septiembre de 2023.
56. "Actualización de la designación de Corea del Norte". Departamento del Tesoro de Estados Unidos . Consultado el 15 de abril de 2022 .
57. D'Cruze, Danny (29 de julio de 2024). "Hackean a WazirX: los piratas informáticos norcoreanos están detrás del robo de 235 millones de dólares a inversores indios, según revela un informe". Business Today . Consultado el 31 de julio de 2024 .
58. "Cómo Corea del Norte, apenas conectada, se convirtió en una superpotencia de la piratería". South China Morning Post . 1 de febrero de 2018 . Consultado el 10 de octubre de 2021 .
59. EST, Jason Murdock El 9/3/18 a las 9:54 a. m. (9/3/2018). "Mientras Trump se acerca a Kim Jong-un, los piratas informáticos norcoreanos atacan a los principales bancos". Newsweek . Consultado el 16/8/2019 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
60. "El Tesoro sanciona a grupos cibernéticos maliciosos patrocinados por el Estado norcoreano". Departamento del Tesoro de Estados Unidos . 2019.
61. Centro de coordinación de ciberseguridad del sector sanitario (HC3) (2021). "Actividad cibernética de Corea del Norte" (PDF) . Departamento de Salud y Servicios Humanos de EE. UU .{{cite web}}: CS1 maint: numeric names: authors list (link)
62. Meyers, Adam (6 de abril de 2018). «STARDUST CHOLLIMA | Perfil de actor de amenazas | CrowdStrike» . Consultado el 16 de agosto de 2019 .
63. Una escisión de APT de Lazarus vinculada a ataques bancarios | Threatpost
64. "Tácticas norcoreanas" (PDF) . Federación de Científicos Estadounidenses . Ejército de los EE. UU. 2020. págs. E-1, E-2.
65. "FASTCash 2.0: Los BeagleBoyz de Corea del Norte roban bancos | CISA". 24 de octubre de 2020.
66. Alperovitch, Dmitri (19 de diciembre de 2014). "El FBI implica a Corea del Norte en ataques destructivos" . Consultado el 16 de agosto de 2019 .
67. Sang-Hun, Choe (10 de octubre de 2017). "Hackers norcoreanos robaron planes militares de Estados Unidos y Corea del Sur, dice legislador". The New York Times . ISSN  0362-4331 . Consultado el 16 de agosto de 2019 .
68. Huss, Darien. "Corea del Norte afectada por el virus Bitcoin" (PDF) . proofpoint.com . Consultado el 16 de agosto de 2019 .
69. Cimpanu, Catalin (17 de febrero de 2021). «Estados Unidos acusa a dos miembros más del grupo de piratas informáticos norcoreano 'Lazarus'». ZDNet . Consultado el 20 de febrero de 2021 .
70. "Tres piratas informáticos militares norcoreanos acusados ​​de un amplio plan para cometer ciberataques y delitos financieros en todo el mundo". Departamento de Justicia de Estados Unidos . 17 de febrero de 2021. Archivado desde el original el 8 de abril de 2023.

Fuentes

• Virus News (2016). "Kaspersky Lab ayuda a desmantelar la actividad del grupo Lazarus, responsable de múltiples ciberataques devastadores", Kaspersky Lab .
• RBS (2014). "Un análisis del ataque informático a Sony en diciembre de 2014". Risk Based Security.
• Cameron, Dell (2016). "Investigadores de seguridad afirman que un misterioso 'grupo Lazarus' hackeó a Sony en 2014", The Daily Dot.
• Zetter, Kim (2014). "Sony fue atacada duramente: lo que sabemos y lo que no sabemos hasta ahora", Wired.
• Zetter, Kim (2016). "Los hackers de Sony ya estaban causando estragos años antes de atacar a la empresa", Wired.

Enlaces externos

• Acusación contra Park Jin Hyok, septiembre de 2018
• Acusación contra Park Jin Hyok, Jon Chang Hyok y Kim Il, enero de 2020
• El robo de Lázaro, podcast de 10 partes de BBC World Service .