Un grupo de hackers norcoreanos está participando en una campaña masiva dirigida a las instituciones financieras estadounidenses y los exchanges de criptomonedas en todo el mundo, y las autoridades estadounidenses advierten del alto nivel de amenaza que representa para el país.

Según una alerta emitida por el Departamento de Seguridad Nacional de EE. UU. (DHS), agencias como el FBI, el Comando Cibernético de EE. UU. y el Departamento del Tesoro están discutiendo el resurgimiento del grupo de hackers patrocinado por Corea del Norte, BeagleBoyz.

Los hackers no han estado tan activos en los últimos años como el infame Lazarus Group, otro grupo de hackers del régimen de los ermitaños. Sin embargo, según se informa, son responsables de robar USD 2 mil millones desde al menos 2015, principalmente relacionados con "lucrativos robos de criptomonedas", dijo el DHS de EE. UU.

El grupo parece haber reestructurado su equipo a principios de este año, según los últimos hallazgos, y ha desarrollado nuevos "métodos irreversibles de robo" para apuntar a los exchanges de criptomonedas.

El malware que BeagleBoyz planea utilizar incluye COPPERHEDGE, una herramienta de acceso remoto empleada por grupos sofisticados de amenazas para atacar los exchanges de criptomonedas. La herramienta puede ejecutar comandos en sistemas comprometidos y filtrar datos robados.

Hablando con Cointelegraph, Erich Kron, defensor de la conciencia de seguridad en la firma de ciberseguridad KnowBe4, dijo que el grupo estaba bien organizado y apuntaba a cajeros automáticos y exchanges.

“Los esquemas de retiro de efectivo en cajeros automáticos son interesantes, ya que a menudo están bien organizados y pueden incluir a muchos cómplices de todo el mundo que trabajan juntos para realizar grandes retiros simultáneamente”, dijo. Por el contrario, la entrega de malware a los exchanges solía ser bastante básica, dijo:

"El uso de correos electrónicos de suplantación de identidad y conexiones de LinkedIn demuestra cómo los ataques iniciales a menudo se realizan utilizando esquemas de ingeniería social de baja tecnología, y luego pasan a técnicas de alta tecnología una vez en la red".

Según un informe publicado por la empresa finlandesa de ciberseguridad y privacidad, F-Secure, el último ataque de Lazarus Group se realizó a través de un anuncio de trabajo relacionado con criptomonedas en LinkedIn.

Su investigación indicó que una persona que trabajaba en el espacio blockchain recibió un mensaje de phishing que imitaba una lista de trabajo legítima de blockchain.

Sigue leyendo: