Gobierno de EE. UU. Advierte sobre más ataques de malware proveniente de Corea del Norte.

malware

A principios de este mes, en la cumbre de seguridad de Singapur; Donald Trump y Kim Jong han intercambiado apretones de mano y sonrisas, lo cual hacía pensar que todo fue cordial entre los Estados Unidos y Corea del Norte. Pero, pocos días después de que los dos países firmaron un acuerdo conjunto en sus conversaciones sin precedentes, el Departamento de Seguridad Nacional de EE. UU. Ha emitido una advertencia sobre el uso de más malware por parte del gobierno de Corea del Norte contra las organizaciones estadounidenses.

Se cree que el malware, apodado "Typeframe", está relacionado con otros ataques atribuidos anteriormente al grupo Hidden Cobra (también llamada a veces "Lazarus" o "Guardians of the Peace").

Este grupo se ha hecho famoso por su uso de troyanos de acceso remoto (RAT), ataques DDoS  mediante botnet, keylogging spyware y malware que borra datos en ataques contra compañías extranjeras.

Recientemente, el segundo banco más grande de Chile, confirmó que a fines de mayo sufrió un grave ataque de malware que violó sus sistemas e interrumpió sus servicios. En ese ataque los ciberdelincuentes usaron el malware que borra el disco de Hidden Cobra para distraer al departamento de seguridad del banco, mientras que unos 10 millones de dólares fueron robados a través del sistema de transferencia de dinero SWIFT.

Si el ataque fue realmente obra de Corea del Norte, sería el más reciente de una larga serie de ataques a SWIFT que supuestamente han robado cientos de millones de dólares para el estado paria.

En el pasado, el gobierno de los Estados Unidos culpó a Hidden Cobra por el famoso ataque WannaCry ransomware, un reclamo que Corea del Norte negó contundentemente.

En su último informe, el Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) del Departamento de Seguridad Nacional no comparte detalles sobre cuántas computadoras pueden haber sido infectadas por Typeframe, o qué industrias podrían haber sido atacadas. Sin embargo, sí comparte un análisis técnico de 11 muestras de malware (archivos ejecutables de Windows y un documento de Microsoft Word) que intentan descargar e instalar spyware, conectarse a servidores de comando y control, y mezclarse con los firewalls de las víctimas para permitir las conexiones entrantes.

Todas las muestras de malware parecen haber sido compiladas antes de que se anunciara la cumbre de seguridad de Singapur. Para defenderse mejor de los ataques de Typeframe, el US-CERT recomienda a las organizaciones que busquen indicios de compromiso, detallados en el informe, revisando los registros de red para las direcciones IP y utilizando una variedad de firmas de red y reglas basadas en host.

Si te ha gustado el artículo, síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA,