Grupo Lázaro

organización de cibercrimen

Lazarus Group (también conocido como Guardianes de la Paz o Equipo Whois ^{[1] [2] [3]} ) es un grupo de hackers formado por un número desconocido de individuos, supuestamente dirigido por el gobierno de Corea del Norte . Si bien no se sabe mucho sobre el Grupo Lazarus, los investigadores les han atribuido muchos ataques cibernéticos entre 2010 y 2021. Originalmente un grupo criminal, el grupo ahora ha sido designado como una amenaza persistente avanzada debido a la naturaleza prevista, la amenaza y la amplia gama de métodos. utilizado al realizar una operación. Los nombres dados por las organizaciones de ciberseguridad incluyen Hidden Cobra (utilizado por el Departamento de Seguridad Nacional de los Estados Unidos para referirse a la actividad cibernética maliciosa del gobierno de Corea del Norte en general) ^{[4] [5]} y ZINC o Diamond Sleet ^[6] (por Microsoft ) . ^{[7] [8] [9]} Según el desertor norcoreano Kim Kuk-song, la unidad se conoce internamente en Corea del Norte como Oficina de Enlace 414. ^[10]

El Grupo Lazarus tiene fuertes vínculos con Corea del Norte . ^{[11] [12]} El Departamento de Justicia de Estados Unidos ha afirmado que el grupo es parte de la estrategia del gobierno de Corea del Norte para "socavar la ciberseguridad global... y generar ingresos ilícitos en violación de... sanciones". ^[13] Corea del Norte se beneficia de la realización de operaciones cibernéticas porque puede presentar una amenaza asimétrica con un pequeño grupo de operadores, especialmente para Corea del Sur. ^[14]

Historia

El primer ataque conocido del que es responsable el grupo se conoce como "Operación Troya", que tuvo lugar entre 2009 y 2012. Se trataba de una campaña de ciberespionaje que utilizaba técnicas poco sofisticadas de ataque distribuido de denegación de servicio (DDoS) para atacar al grupo. Gobierno de Corea del Sur en Seúl. También fueron responsables de los ataques de 2011 y 2013. Es posible que también estuvieran detrás de un ataque de 2007 contra Corea del Sur, pero eso aún es incierto. ^[15] Un ataque notable por el que el grupo es conocido es el ataque de 2014 a Sony Pictures . El ataque a Sony utilizó técnicas más sofisticadas y destacó lo avanzado que se ha vuelto el grupo con el tiempo.

El FBI quería aviso para uno de los hackers del Grupo Lazarus, Park Jin Hyok

Se informó que el Grupo Lazarus robó 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015. ^[16] También han atacado a bancos en Polonia y México. ^[17] El atraco al banco de 2016 ^[18] incluyó un ataque al Banco de Bangladesh , en el que se robaron con éxito 81 millones de dólares y se atribuyó al grupo. En 2017, se informó que el grupo Lazarus robó 60 millones de dólares del Far Eastern International Bank de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos fueron recuperados. ^[17]

No está claro quién está realmente detrás del grupo, pero informes de los medios han sugerido que el grupo tiene vínculos con Corea del Norte . ^{[19] [20] [17]} Kaspersky Lab informó en 2017 que Lazarus tendía a concentrarse en ciberataques de espionaje e infiltración, mientras que un subgrupo dentro de su organización, al que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un vínculo directo ( dirección IP ) entre Bluenoroff y Corea del Norte. ^[21]

Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una “bandera falsa” destinada a engañar a los investigadores y atribuir el ataque a Corea del Norte, dado que el ciberataque mundial del gusano WannaCry también copió técnicas de la NSA. Este ransomware aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de hackers conocido como Shadow Brokers hizo público en abril de 2017. ^[22] Symantec informó en 2017 que era "muy probable" que Lazarus estuviera detrás del ataque WannaCry. ^[23]

2009 Operación Troya

El primer gran incidente de piratería informática del Grupo Lazarus tuvo lugar el 4 de julio de 2009 y provocó el comienzo de la "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de EE. UU. y Corea del Sur. La andanada de ataques afectó a unas tres docenas de sitios web y colocó el texto "Memoria del Día de la Independencia" en el registro de arranque maestro (MBR).

2013 Ciberataque en Corea del Sur (Operación 1Mission/DarkSeoul)

Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han vuelto mejor desarrolladas y más efectivas. El ataque de marzo de 2011 conocido como "Diez días de lluvia" tuvo como objetivo los medios de comunicación, las finanzas y la infraestructura crítica de Corea del Sur, y consistió en ataques DDoS más sofisticados que se originaron en computadoras comprometidas dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul, un ataque de limpieza dirigido a tres empresas de radiodifusión, institutos financieros y un ISP de Corea del Sur. En ese momento, otros dos grupos llamados ″NewRomanic Cyber ​​Army Team y WhoIs Team″ se atribuyeron el mérito de ese ataque, pero los investigadores no sabían que el Grupo Lazarus estaba detrás de esto en ese momento. Los investigadores conocen hoy al Grupo Lazarus como un supergrupo detrás de los ataques disruptivos. ^[24]

Finales de 2014: incumplimiento de Sony

Los ataques del Grupo Lazarus culminaron el 24 de noviembre de 2014. Ese día, apareció una publicación en Reddit que decía que Sony Pictures había sido pirateada por medios desconocidos; Los perpetradores se identificaron como los "Guardianes de la Paz". Se robaron y filtraron lentamente grandes cantidades de datos en los días posteriores al ataque. Una entrevista con alguien que decía ser parte del grupo afirmó que habían estado desviando datos de Sony durante más de un año. ^[25]

Los piratas informáticos pudieron acceder a películas inéditas, guiones de determinadas películas, planes para películas futuras, información sobre los salarios de los ejecutivos de la empresa, correos electrónicos y datos personales de unos 4.000 empleados. ^[26]

Investigación de principios de 2016: Operación Blockbuster

Bajo el nombre de ″Operación Blockbuster″, una coalición de empresas de seguridad, liderada por Novetta, ^{[27] [28]} pudo analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Utilizando esos datos, el equipo pudo analizar los métodos utilizados por los piratas informáticos. Vincularon al Grupo Lazarus con una serie de ataques mediante un patrón de reutilización de código. ^[29]

Atraco cibernético al banco de Bangladesh en 2016

El ciberatraco al Banco de Bangladesh fue un robo que tuvo lugar en febrero de 2016. Hackers de seguridad emitieron treinta y cinco instrucciones fraudulentas a través de la red SWIFT para transferir ilegalmente cerca de mil millones de dólares estadounidenses desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh. , el banco central de Bangladesh. Cinco de las treinta y cinco instrucciones fraudulentas lograron transferir 101 millones de dólares, de los cuales 20 millones se rastrearon a Sri Lanka y 81 millones a Filipinas. El Banco de la Reserva Federal de Nueva York bloqueó las treinta transacciones restantes, por un importe de 850 millones de dólares, debido a las sospechas suscitadas por una instrucción mal escrita. ^{[30] [31]} Los expertos en ciberseguridad afirmaron que el Grupo Lazarus, con sede en Corea del Norte, estaba detrás del ataque. ^{[32] [33]}

Mayo de 2017 Ataque de ransomware WannaCry

El ataque WannaCry fue un ciberataque masivo de ransomware que afectó a instituciones de todo el mundo, desde el NHS de Gran Bretaña hasta Boeing e incluso universidades de China el 12 de mayo de 2017. El ataque duró 7 horas y 19 minutos. Europol estima que afectó a casi 200.000 ordenadores en 150 países, afectando principalmente a Rusia, India, Ucrania y Taiwán. Este fue uno de los primeros ataques que viajó a través de un gusano criptográfico . Los criptogusanos son una forma reciente de virus informático que puede viajar entre computadoras utilizando redes, explotando el puerto TCP 445 ^[34] ). Para infectarse, no es necesario hacer clic en un enlace defectuoso: el malware puede propagarse de forma autónoma, desde una computadora a una impresora conectada y luego a computadoras adyacentes, tal vez conectadas a wifi, etc. La vulnerabilidad del puerto 445 permitió que el malware se mueva libremente a través de intranets e infecte miles de computadoras rápidamente. El ataque Wannacry fue uno de los primeros usos a gran escala de un criptogusano. ^{[35] [36]}

Ataque

El virus aprovechó una vulnerabilidad en el sistema operativo Windows y luego cifró los datos de la computadora a cambio de una suma de Bitcoin por valor de aproximadamente 300 dólares para obtener la clave. Para fomentar el pago, la demanda de rescate se duplicó después de tres días y, si no se paga en una semana, el malware elimina los archivos de datos cifrados. El malware utilizó un software legítimo llamado Windows Crypto, creado por Microsoft para codificar los archivos. Una vez que se completa el cifrado, al nombre del archivo se le agrega "Wincry", que es la raíz del nombre Wannacry. Wincry era la base del cifrado, pero el malware utilizó dos exploits adicionales, EternalBlue y DoublePulsar , para convertirlo en un gusano criptográfico. EternalBlue propaga automáticamente el virus a través de las redes, mientras que DoublePulsar lo activaba en la computadora de la víctima. En otras palabras, EternalBlue obtuvo el enlace infectado a su computadora y DoublePulsar hizo clic en él por usted. ^[36]

El investigador de seguridad Marcus Hutchins puso fin al ataque cuando recibió una copia del virus de un amigo en una empresa de investigación de seguridad y descubrió un interruptor de apagado codificado en el virus. El malware incluía una verificación periódica para ver si un nombre de dominio específico estaba registrado y solo procedería con el cifrado si ese nombre de dominio no existía. Hutchins identificó esta verificación y luego registró rápidamente el dominio relevante a las 3:03 p.m. UTC. El malware dejó inmediatamente de propagarse e infectar nuevas máquinas. Esto fue muy interesante y es una pista sobre quién creó el virus. Por lo general, detener el malware lleva meses de luchas de ida y vuelta entre los piratas informáticos y los expertos en seguridad, por lo que esta fácil victoria fue inesperada. Otro aspecto muy interesante e inusual del ataque fue que los archivos no eran recuperables después de pagar el rescate: sólo se recaudaron 160.000 dólares, lo que llevó a muchos a creer que los piratas informáticos no buscaban el dinero. ^[36]

La fácil interrupción y la falta de ingresos llevaron a muchos a creer que el ataque fue patrocinado por el estado; el motivo no fue una compensación financiera, sino simplemente causar caos. Después del ataque, los expertos en seguridad rastrearon el exploit DoublePulsar hasta la NSA de Estados Unidos , donde se había desarrollado el exploit como arma cibernética . Luego, el grupo de hackers Shadow Brokers robó el exploit y primero intentó subastarlo, pero al no poder hacerlo, simplemente lo regaló. ^[36] Posteriormente, la NSA reveló la vulnerabilidad a Microsoft, quien emitió una actualización el 14 de marzo de 2017, poco menos de un mes antes de que ocurriera el ataque. No fue suficiente. La actualización no era obligatoria y la mayoría de las computadoras con la vulnerabilidad no habían resuelto el problema cuando llegó el 12 de mayo, lo que llevó a la sorprendente efectividad del ataque.

Secuelas

Posteriormente, el Departamento de Justicia de Estados Unidos y las autoridades británicas atribuyeron el ataque WannaCry a la banda de hackers norcoreanos, el grupo Lazarus. ^[13]

Ataques de criptomonedas de 2017

En 2018, Recorded Future publicó un informe que vinculaba al Grupo Lazarus con ataques a usuarios de criptomonedas Bitcoin y Monero , principalmente en Corea del Sur. ^[37] Se informó que estos ataques eran técnicamente similares a ataques anteriores utilizando el ransomware WannaCry y los ataques a Sony Pictures. ^[38] Una de las tácticas utilizadas por los piratas informáticos de Lazarus fue explotar las vulnerabilidades en Hangul de Hancom , un software de procesamiento de textos de Corea del Sur. ^[38] Otra táctica fue utilizar señuelos de phishing que contenían malware y que se enviaron a estudiantes surcoreanos y usuarios de intercambios de criptomonedas como Coinlink. Si el usuario abría el malware, robaba direcciones de correo electrónico y contraseñas. ^[39] Coinlink negó que su sitio o los correos electrónicos y contraseñas de los usuarios hubieran sido pirateados. ^[39] El informe concluyó que "Esta campaña de finales de 2017 es una continuación del interés de Corea del Norte en las criptomonedas, que ahora sabemos que abarca una amplia gama de actividades que incluyen minería, ransomware y robo descarado..." [ ^37] El informe También dijo que Corea del Norte estaba utilizando estos ataques con criptomonedas para evitar sanciones financieras internacionales. ^[40]

Los piratas informáticos norcoreanos robaron 7 millones de dólares de Bithumb , una bolsa de Corea del Sur en febrero de 2017. ^[41] Youbit, otra empresa de bolsa de Bitcoin de Corea del Sur, se declaró en quiebra en diciembre de 2017 después de que el 17% de sus activos fueran robados por ciberataques tras un ataque anterior. en abril de 2017. ^[42] Se culpó a Lazarus y a piratas informáticos norcoreanos por los ataques. ^{[43] [37]} Nicehash , un mercado de minería de criptomonedas en la nube, perdió más de 4500 Bitcoin en diciembre de 2017. Una actualización sobre las investigaciones afirmó que el ataque está vinculado al Grupo Lazarus. ^[44]

Ataques de septiembre de 2019

A mediados de septiembre de 2019, Estados Unidos emitió una alerta pública sobre una nueva versión de malware denominada ElectricFish. ^[45] Desde principios de 2019, agentes norcoreanos han intentado cinco grandes robos cibernéticos en todo el mundo, incluido un robo exitoso de 49 millones de dólares de una institución en Kuwait . ^[45]

Ataques a empresas farmacéuticas a finales de 2020

Debido a la actual pandemia de COVID-19 , las empresas farmacéuticas se convirtieron en los principales objetivos del Grupo Lazarus. Utilizando técnicas de phishing, los miembros del Grupo Lazarus se hicieron pasar por funcionarios de salud y contactaron a empleados de compañías farmacéuticas con enlaces maliciosos. Se cree que varias organizaciones farmacéuticas importantes fueron el objetivo, pero la única que se ha confirmado fue la anglosueca AstraZeneca . Según un informe de Reuters, ^[46] el objetivo fue una amplia gama de empleados, incluidos muchos involucrados en la investigación de la vacuna COVID-19. Se desconoce cuál era el objetivo del Grupo Lazarus en estos ataques, pero las posibilidades probables incluyen:

• Robar información confidencial para venderla con fines de lucro.
• Esquemas de extorsión.
• Dar a los regímenes extranjeros acceso a investigaciones patentadas sobre el COVID-19.

AstraZeneca no ha comentado sobre el incidente y los expertos no creen que ningún dato sensible haya sido comprometido hasta el momento. ^{[ a partir de? ]}

Ataques de enero de 2021 dirigidos a investigadores de ciberseguridad

En enero de 2021, Google y Microsoft informaron públicamente sobre un grupo de piratas informáticos norcoreanos que atacaban a investigadores de ciberseguridad a través de una campaña de ingeniería social , y Microsoft atribuyó específicamente la campaña al Grupo Lazarus. ^{[47] [48] [49]}

Los piratas informáticos crearon múltiples perfiles de usuario en Twitter , GitHub y LinkedIn haciéndose pasar por investigadores legítimos de vulnerabilidades de software , y utilizaron esos perfiles para interactuar con publicaciones y contenidos realizados por otros miembros de la comunidad de investigación de seguridad. Luego, los piratas informáticos se dirigirían a investigadores de seguridad específicos contactándolos directamente con una oferta para colaborar en la investigación, con el objetivo de lograr que la víctima descargue un archivo que contiene malware o visite una publicación de blog en un sitio web controlado por los piratas informáticos. ^[49]

Algunas víctimas que visitaron la publicación del blog informaron que sus computadoras fueron comprometidas a pesar de usar versiones completamente parcheadas del navegador Google Chrome , lo que sugiere que los piratas informáticos pueden haber utilizado una vulnerabilidad de día cero previamente desconocida que afecta a Chrome para el ataque; ^[47] sin embargo, Google declaró que no pudieron confirmar el método exacto de compromiso en el momento del informe. ^[48]

Juego en línea de marzo de 2022 Axie Infinity Attack

En marzo de 2022, Lazarus Group fue declarado responsable de robar 600 millones de dólares de Ronin Network, un puente utilizado por el juego Axie Infinity . ^[50] El FBI dijo: "A través de nuestras investigaciones pudimos confirmar que Lazarus Group y APT38, actores cibernéticos asociados con [Corea del Norte], son responsables del robo". ^[51]

Junio ​​de 2022 Ataque al Puente Horizonte

El FBI confirmó que el grupo de ciberactores maliciosos norcoreano Lazarus (también conocido como APT38) fue responsable del robo de 100 millones de dólares en moneda virtual del puente Horizon de Harmony informado el 24 de junio de 2022. ^[52]

Ataques de criptomonedas de 2023

Un informe publicado por la plataforma de seguridad blockchain Immunefi, alegó que Lazarus fue responsable de más de $300 millones en pérdidas en incidentes de piratería criptográfica en 2023. La cantidad representa el 17,6% de las pérdidas totales del año. ^[50]

Junio ​​de 2023 Ataque a la billetera atómica

En junio de 2023, se robaron más de 100 millones de dólares en criptomonedas a los usuarios del servicio Atomic Wallet, ^[53] y esto fue confirmado más tarde por el FBI. ^[54]

Septiembre de 2023 Hack de Stake.com

En septiembre de 2023, el FBI confirmó que Lazarus Group perpetró un robo de 41 millones de dólares en criptomonedas de Stake.com, un casino en línea y plataforma de apuestas. ^[55]

Sanciones estadounidenses

El 14 de abril de 2022, la OFAC del Tesoro de EE. UU . colocó a Lazarus en la Lista SDN según la sección 510.214 del Reglamento de Sanciones a Corea del Norte. ^[56]

Educación

Los piratas informáticos norcoreanos son enviados vocacionalmente a Shenyang , China, para recibir un entrenamiento especial. Están capacitados para implementar malware de todo tipo en computadoras, redes informáticas y servidores. La educación a nivel nacional incluye la Universidad Tecnológica Kim Chaek , la Universidad Kim Il-sung y la Universidad Moranbong, que selecciona a los estudiantes más brillantes de todo el país y los somete a seis años de educación especial. ^{[10] [57]}

Unidades

Se cree que Lázaro tiene dos unidades. ^{[58] [59]}

AzulNorApagado

BlueNorOff (también conocido como: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE ^[60] ) es un grupo con motivación financiera que es responsable de las transferencias ilegales de dinero mediante la falsificación de órdenes de SWIFT . BlueNorOff también se llama APT38 (de Mandiant ) y Stardust Chollima (de Crowdstrike ). ^{[61] [62]}

Según un informe de 2020 del ejército de EE. UU., Bluenoroff tiene alrededor de 1.700 miembros que llevan a cabo delitos cibernéticos financieros concentrándose en la evaluación a largo plazo y explotando las vulnerabilidades y sistemas de las redes enemigas para obtener ganancias financieras para el régimen o tomar el control del sistema. ^[63] Se dirigen a instituciones financieras e intercambios de criptomonedas, incluidas más de 16 organizaciones en al menos 13 países ^[a] entre 2014 y 2021 Bangladesh, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía, Chile y Vietnam. Se cree que los ingresos se destinarán al desarrollo de tecnología nuclear y de misiles. ^{[60] [59]}

El ataque más infame de BlueNorOff fue el robo al Banco de Bangladesh en 2016 , en el que intentaron utilizar la red SWIFT para transferir ilegalmente cerca de mil millones de dólares desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh , el banco central de Bangladesh. Después de que varias de las transacciones se concretaran (20 millones de dólares rastreados a Sri Lanka y 81 millones de dólares a Filipinas ), el Banco de la Reserva Federal de Nueva York bloqueó las transacciones restantes, debido a sospechas generadas por un error ortográfico. ^[59]

El malware asociado con BlueNorOff incluye: " DarkComet , Mimikatz , Nestegg, Macktruck, WannaCry , Whiteout, Quickcafe, Rawhide , Smoothride, TightVNC , Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe , sysmon , Bootwreck, Cleantoad, Closeshave, Dyepack , Hermes , Twopence, Electricfish, Powerratankba y Powerspritz" ^[60]

Las tácticas comúnmente utilizadas por BlueNorOff incluyen: phishing, puertas traseras, ^[59] compromiso drive-by, ataque de abrevadero , explotación de versiones inseguras y desactualizadas de Apache Struts 2 para ejecutar código en un sistema, compromiso web estratégico y acceso a Linux. servidores. ^[60] Se informa que a veces trabajan junto con piratas informáticos criminales. ^[64]

YAriel

AndAriel (también escrito Andarial, ^[63] y también conocido como: Silent Chollima, Dark Seoul, Rifle y Wassonite ^[60] ) se caracteriza logísticamente por apuntar a Corea del Sur . Y el nombre alternativo de Ariel se llama Silent Chollima debido a la naturaleza sigilosa del subgrupo. ^[65] Cualquier organización en Corea del Sur es vulnerable a AndAriel. Los objetivos incluyen el gobierno, la defensa y cualquier símbolo económico. ^{[66] [67]}

Según un informe de 2020 del ejército estadounidense, Andarial tiene alrededor de 1.600 miembros cuya misión es el reconocimiento, la evaluación de las vulnerabilidades de la red y el mapeo de la red enemiga para posibles ataques. ^[63] Además de Corea del Sur, también apuntan a otros gobiernos, infraestructuras y empresas. Los vectores de ataque incluyen: ActiveX, vulnerabilidades en software de Corea del Sur, ataques de abrevadero , phishing (macro), productos de gestión de TI (antivirus, PMS) y cadena de suministro (instaladores y actualizadores). El malware utilizado incluye: Aryan, Gh0st RAT , Rifdoor, Phandoor y Andarat. ^[60]

Acusaciones

En febrero de 2021, el Departamento de Justicia de Estados Unidos acusó a tres miembros de la Oficina General de Reconocimiento , una agencia de inteligencia militar norcoreana, de haber participado en varias campañas de piratería de Lazarus: Jin Hyok , Jon Chang Hyok y Kim Il Park. Jin Hyok ya había sido acusado formalmente a principios de septiembre de 2018. Los individuos no están bajo custodia de Estados Unidos. Un canadiense y dos chinos también han sido acusados ​​de haber actuado como mulas de dinero y blanqueadores de dinero para el grupo Lazarus. ^{[68] [69]}

Ver también

• Oficina 121
• Kimsuky
• Relaciones Corea del Norte-Estados Unidos
• Park Jin Hyok
• ricochet chollima

Notas

1. "según informes de prensa, había llevado a cabo con éxito operaciones de este tipo contra bancos en Bangladesh, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía, Chile y Vietnam" [ ^59]

Referencias

1. "Designaciones de Corea del Norte; Designación global Magnitsky". Departamento del Tesoro de EE.UU. 2019. GRUPO LAZARUS (también conocido como "MANZANO"; también conocido como "APT-C-26"; también conocido como "GRUPO 77"; también conocido como "GUARDIANES DE LA PAZ"; también conocido como "COBRA OCULTA"; también conocido como "OFICINA 91"; también conocido como "PUNTO ROJO"; también conocido como "TEMP.HERMIT"; también conocido como "EL NUEVO EQUIPO CYBER ARMY ROMÁNTICO"; también conocido como "WHOIS HACKING TEAM"; también conocido como "ZINC"), distrito de Potonggang...
2. "Grupo Lazarus | Documentación InsightIDR". Rápido7 . Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Group 77, Guardian of Peace, Guardians of Peace, Hastati Group, HIDDEN COBRA, Labyrinth Chollima, Lazarus, NewRomantic Cyber ​​Army Team , NICKEL ACADEMY, Operación AppleJesus, Operación DarkSeoul, Operación GhostSecret, Operación Troy, Silent Chollima, Subgrupo: Andariel, Subgrupo: Bluenoroff, Unidad 121, Whois Hacking Team, WHOis Team, ZINC
3. "ACADEMIA DEL NÍQUEL | Secureworks". Secureworks.com . Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardians of Peace, HIDDEN COBRA (Gobierno de EE. UU.), High Anonymous, Labyrinth Chollima (CrowdStrike), New Romanic Cyber ​​Army Team, NNPT Group , El Grupo Lazarus, ¿Quién soy yo?, Equipo Whois, ZINC (Microsoft)
4. "HIDDEN COBRA - Infraestructura de botnet DDoS de Corea del Norte | CISA". us-cert.cisa.gov . CISA. 2017.
5. "Grupo Lazarus, COBRA OCULTA, Guardianes de la Paz, ZINC, NICKEL ACADEMY, Grupo G0032 | MITRE ATT&CK®". ATT&CK DE INGLETE . Corporación MITRE.
6. "Cómo Microsoft nombra a los actores de amenazas". Microsoft . Consultado el 21 de enero de 2024 .
7. "Microsoft y Facebook interrumpen el ataque de malware ZINC para proteger a los clientes e Internet de las ciberamenazas en curso". Microsoft sobre los problemas . 2017-12-19 . Consultado el 16 de agosto de 2019 .
8. "El FBI frustra el malware de vigilancia norcoreano vinculado a Lazarus". TI PRO . Consultado el 16 de agosto de 2019 .
9. Guerrero-Saade, Juan Andrés; Moriuchi, Priscilla (16 de enero de 2018). "Corea del Norte apuntó a los usuarios y al intercambio de criptomonedas de Corea del Sur en la campaña de finales de 2017". Futuro grabado . Archivado desde el original el 16 de enero de 2018.
10. "Drogas, armas y terrorismo: un desertor de alto perfil en la Corea del Norte de Kim". Noticias de la BBC . 2021-10-10 . Consultado el 11 de octubre de 2021 .
11. "¿Quién es Lazarus? El colectivo de cibercrimen más nuevo de Corea del Norte". www.ciberpolitica.com . Consultado el 26 de agosto de 2020 .
12. Beedham, Mateo (9 de enero de 2020). "El grupo de hackers norcoreano Lazarus está utilizando Telegram para robar criptomonedas". Horquilla dura | La próxima web . Consultado el 26 de agosto de 2020 .
13. "Programador respaldado por el régimen de Corea del Norte acusado de conspiración para realizar múltiples ataques e intrusiones cibernéticas". www.justicia.gov . 2018-09-06 . Consultado el 14 de enero de 2022 .
14. "BBC World Service - El atraco a Lázaro, 10. Interruptor de apagado". BBC . Consultado el 21 de abril de 2022 .
15. "Los investigadores de seguridad dicen que el misterioso 'Grupo Lazarus' pirateó Sony en 2014". El punto diario . 24 de febrero de 2016 . Consultado el 29 de febrero de 2016 .
16. "El malware de los atacantes de SWIFT vinculado a más ataques financieros". Symantec . 2016-05-26 . Consultado el 19 de octubre de 2017 .
17. Ashok, India (17 de octubre de 2017). "Lazarus: se sospecha que piratas informáticos norcoreanos han robado millones en un ciberatraco a un banco de Taiwán". Tiempos de negocios internacionales del Reino Unido . Consultado el 19 de octubre de 2017 .
18. "Dos bytes a 951 millones de dólares". baesystemsai.blogspot.co.uk . Consultado el 15 de mayo de 2017 .
19. "Ciberataques vinculados a Corea del Norte, afirman expertos en seguridad". El Telégrafo . 2017-05-16 . Consultado el 16 de mayo de 2017 .
20. Solón, Olivia (15 de mayo de 2017). "El ransomware WannaCry tiene vínculos con Corea del Norte, dicen expertos en ciberseguridad". El guardián . ISSN  0261-3077 . Consultado el 16 de mayo de 2017 .
21. GReAT: equipo de análisis e investigación global de Kaspersky Lab (3 de marzo de 2017). "Lázaro bajo el capó". Lista segura . Consultado el 16 de mayo de 2017 .
22. El ransomware WannaCry tiene un vínculo con presuntos piratas informáticos norcoreanos (3 de marzo de 2017). "El cableado". Lista segura . Consultado el 16 de mayo de 2017 .
23. "Más pruebas del 'vínculo' de WannaCry con los piratas informáticos norcoreanos". Noticias de la BBC . 2017-05-23 . Consultado el 23 de mayo de 2017 .
24. "Los piratas informáticos de Sony estaban causando caos años antes de atacar la empresa". CABLEADO . Consultado el 1 de marzo de 2016 .
25. "Sony fue pirateada duramente: lo que sabemos y lo que no sabemos hasta ahora". CABLEADO . Consultado el 1 de marzo de 2016 .
26. "Un desglose y análisis del hack de Sony de diciembre de 2014". www.riskbasedsecurity.com . 5 de diciembre de 2014. Archivado desde el original el 4 de marzo de 2016 . Consultado el 1 de marzo de 2016 .
27. Van Buskirk, Peter (1 de marzo de 2016). "Cinco razones por las que la operación Blockbuster es importante". Novela . Consultado el 16 de mayo de 2017 .
28. "Novetta expone la profundidad del ataque a Sony Pictures - Novetta". 24 de febrero de 2016.
29. "Kaspersky Lab ayuda a interrumpir la actividad del Grupo Lazarus responsable de múltiples ciberataques devastadores | Kaspersky Lab". www.kaspersky.com . Archivado desde el original el 1 de septiembre de 2016 . Consultado el 29 de febrero de 2016 .
30. Schram, Jamie (22 de marzo de 2016). "La congresista quiere que se investigue el 'descarado' robo de 81 millones de dólares de la Reserva Federal de Nueva York". Correo de Nueva York .
31. Shapiro, Scott (2023). Fancy Bear se vuelve phishing: la oscura historia de la era de la información, en cinco trucos extraordinarios (1ª ed.). Nueva York: Farrar, Straus y Giroux. pag. 316.ISBN _ 978-0-374-60117-1.
32. "El grupo cibercriminal Lazarus hackeó el banco de Bangladesh". thedailystar.net . 20 de abril de 2017 . Consultado el 13 de mayo de 2021 .
33. "Estados Unidos acusa a Corea del Norte por hackear el banco de Bangladesh". finextra.com . 6 de septiembre de 2018 . Consultado el 13 de mayo de 2021 .
34. "Cómo defenderse del puerto TCP 445 y otros exploits para SMB". BuscarSeguridad . Consultado el 14 de enero de 2022 .
35. Tormenta, Darlene (13 de abril de 2016). "Criptogusanos: el futuro del infierno del ransomware". Mundo de la informática . Consultado el 14 de enero de 2022 .
36. 10. Interruptor de apagado, 2021-06-20 , consultado el 14 de enero de 2022
37. Al Ali, Nour (16 de enero de 2018). "Grupo de hackers de Corea del Norte visto detrás de un ataque criptográfico en el sur". Bloomberg.com . Consultado el 17 de enero de 2018 .
38. Kharpal, Arjun (17 de enero de 2018). "Los piratas informáticos respaldados por el gobierno de Corea del Norte están intentando robar criptomonedas de los usuarios surcoreanos". CNBC . Consultado el 17 de enero de 2018 .
39. Mascarenhas, Jacinto (17 de enero de 2018). "Lazarus: los piratas informáticos norcoreanos vinculados al hack de Sony estaban detrás de los ataques con criptomonedas en Corea del Sur". Tiempos de negocios internacionales del Reino Unido . Consultado el 17 de enero de 2018 .
40. Limitone, Julia (17 de enero de 2018). "Bitcoin, criptomonedas objetivo de piratas informáticos norcoreanos, revela un informe". Negocio Fox . Consultado el 17 de enero de 2018 .
41. Ashford, Warwick (17 de enero de 2018). "Hackers norcoreanos vinculados a ataques con criptomonedas en Corea del Sur". Computadora Semanal . Consultado el 17 de enero de 2018 .
42. "El intercambio de cifrado de Corea del Sur se declara en quiebra después del hackeo". Los tiempos del estrecho . 2017-12-20 . Consultado el 17 de enero de 2018 .
43. "Los intercambios de Bitcoin son el objetivo de los piratas informáticos norcoreanos, dicen los analistas". MSN Dinero . 2017-12-21. Archivado desde el original el 18 de enero de 2018 . Consultado el 17 de enero de 2018 .
44. "Actualización de la investigación de violaciones de seguridad de NiceHash: NiceHash". BonitoHash . Consultado el 13 de noviembre de 2018 .
45. Volz (16 de septiembre de 2019). "Estados Unidos apunta a la piratería informática norcoreana como una amenaza a la seguridad nacional". MSN . Consultado el 16 de septiembre de 2019 .
46. Stubbs, Jack (27 de noviembre de 2020). "Exclusivo: presuntos piratas informáticos norcoreanos atacaron al fabricante de vacunas COVID AstraZeneca - fuentes". Reuters .
47. Newman, Lily Hay. "Corea del Norte apunta, y engaña, a una gran cantidad de profesionales de la ciberseguridad". Cableado . ISSN  1059-1028 . Consultado el 17 de marzo de 2023 .
48. "Nueva campaña dirigida a investigadores de seguridad". Google . 2021-01-25 . Consultado el 13 de marzo de 2023 .
49. Intelligence, Centro de inteligencia de amenazas de Microsoft (MSTIC), Amenaza de Microsoft Defender (28 de enero de 2021). "Ataques ZINC contra investigadores de seguridad". Blog de seguridad de Microsoft . Consultado el 13 de marzo de 2023 .{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
50. "El Grupo Lazarus, vinculado a Corea del Norte, es responsable de casi el 20% de las pérdidas por criptomonedas (por un valor de más de 300 millones de dólares) en 2023". Criptomoneda de la fortuna . Consultado el 15 de diciembre de 2023 .
51. "Los piratas informáticos norcoreanos apuntan a los jugadores en un atraco criptográfico de 615 millones de dólares - EE. UU.". Noticias de la BBC . 2022-04-15 . Consultado el 15 de abril de 2022 .
52. "El FBI confirma que los actores cibernéticos del grupo Lazarus son responsables del robo de moneda del puente Horizon de Harmony". Oficina Federal de Investigaciones . Consultado el 22 de marzo de 2023 .
53. Satter, Rafael (13 de junio de 2023). "Los piratas informáticos norcoreanos robaron 100 millones de dólares en un reciente atraco a criptomonedas, dicen los analistas". Reuters . Consultado el 5 de diciembre de 2023 .
54. "El FBI identifica fondos en criptomonedas robados por la RPDC". FBI . 22 de agosto de 2023.
55. "El FBI identifica a los ciberactores del grupo Lazarus como responsables del robo de 41 millones de dólares de Stake.com". FBI . 6 de septiembre de 2023.
56. "Actualización de la designación de Corea del Norte". Departamento del Tesoro de EE.UU. Consultado el 15 de abril de 2022 .
57. "Cuán apenas conectada Corea del Norte se convirtió en una superpotencia pirata". Poste matutino del sur de China . 1 de febrero de 2018 . Consultado el 10 de octubre de 2021 .
58. EST, Jason Murdock el 9/3/18 a las 9:54 a. m. (09 de marzo de 2018). "Mientras Trump se acerca a Kim Jong-un, los piratas informáticos norcoreanos apuntan a los principales bancos". Semana de noticias . Consultado el 16 de agosto de 2019 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
59. "El Tesoro sanciona a grupos cibernéticos maliciosos patrocinados por el estado de Corea del Norte". Departamento del Tesoro de EE.UU. 2019.
60. Centro de Coordinación de Ciberseguridad del Sector Sanitario, (HC3) (2021). "Actividad cibernética de Corea del Norte" (PDF) . Departamento de Salud y Servicios Humanos de EE. UU .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
61. Meyers, Adam (6 de abril de 2018). "STARDUST CHOLLIMA | Perfil de actor de amenazas | CrowdStrike" . Consultado el 16 de agosto de 2019 .
62. Spinoff de Lazarus APT vinculado a hacks bancarios | Puesto de amenaza
63. "Tácticas de Corea del Norte" (PDF) . Federación de Científicos Americanos . Ejercítio EE.UU. 2020. págs. E-1, E-2.
64. "FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos | CISA".
65. Alperovitch, Dmitri (19 de diciembre de 2014). "El FBI implica a Corea del Norte en ataques destructivos" . Consultado el 16 de agosto de 2019 .
66. Sang-Hun, Choe (10 de octubre de 2017). "Los piratas informáticos norcoreanos robaron planes militares entre Estados Unidos y Corea del Sur, dice un legislador". Los New York Times . ISSN  0362-4331 . Consultado el 16 de agosto de 2019 .
67. Huss, Darién. "Corea del Norte mordida por el error de Bitcoin" (PDF) . Proofpoint.com . Consultado el 16 de agosto de 2019 .
68. Cimpanu, Catalin (17 de febrero de 2021). "Estados Unidos acusa a dos miembros más del grupo de piratería norcoreano 'Lazarus'". ZDNet . Consultado el 20 de febrero de 2021 .
69. "Tres piratas informáticos militares de Corea del Norte acusados ​​de participar en un amplio plan para cometer ciberataques y delitos financieros en todo el mundo". Departamento de Justicia de EE. UU . 17 de febrero de 2021. Archivado desde el original el 8 de abril de 2023.

Fuentes

• Noticias de virus (2016). "Kaspersky Lab ayuda a interrumpir la actividad del grupo Lazarus responsable de múltiples ataques cibernéticos devastadores", Kaspersky Lab .
• RB (2014). "Un desglose y análisis del hack de Sony de diciembre de 2014". Seguridad basada en riesgos.
• Cameron, Dell (2016). "Los investigadores de seguridad dicen que el misterioso 'Grupo Lazarus' pirateó Sony en 2014", The Daily Dot.
• Zetter, Kim (2014). "Sony fue pirateada gravemente: lo que sabemos y lo que no sabemos hasta ahora", Wired.
• Zetter, Kim (2016). "Los piratas informáticos de Sony estaban causando caos años antes de atacar la empresa", Wired.

enlaces externos

• Acusación de Park Jin Hyok, septiembre de 2018
• Acusación de Park Jin Hyok, Jon Chang Hyok y Kim Il, enero de 2020
• Podcast de 10 partes de The Lazarus Heist de BBC World Service .