O setor financeiro da Coreia do Sul foi atingido por um ataque em larga escala ligado a hackers russos e norte-coreanos.
O setor financeiro da Coreia do Sul foi atingido por um ataque coordenado à cadeia de suprimentos, ligado a agentes maliciosos russos e norte-coreanos, que resultou na implantação do ransomware Qilin e no roubo de dados sensíveis, confirmou a empresa de cibersegurança Bitdefender.
Ao compilar as pesquisas para seu relatório Threat Debrief de outubro, a Bitdefender afirmou que começou a investigar a campanha após notar um aumento incomum nosdentde ransomware na Coreia do Sul em setembro.
O país registrou 25 ataques naquele mês, uma diferença significativa em relação à média mensal de apenas dois casos registrados entre setembro de 2024 e agosto deste ano.
Coreia do Sul alvo de ataques de ransomware Qilin
Segundo o relatório publicado na última segunda-feira, a Coreia do Sul tornou-se o segundo país mais afetado por ransomware este ano, ficando atrás apenas dos Estados Unidos. Em cerca de 33 casos identificados pela empresa de segurança de software dent 25 foram atribuídos ao grupo de ransomware Qilin e 24 das entidades comprometidas pertenciam ao setor financeiro.
“Esta operação combinou as capacidades de um importante grupo de Ransomware-as-a-Service (RaaS), o Qilin, com o possível envolvimento de agentes afiliados ao Estado norte-coreano (Moonstone Sleet), utilizando a invasão de um Provedor de Serviços Gerenciados (MSP) como vetor de acesso inicial”, diz o relatório.
O grupo Qilin é um dos mais ativos em este ano, operando sob um modelo de Ransomware como Serviço (RaaS) e tendo feito mais de 180 vítimas somente em outubro. De acordo com informações de inteligência de ameaças do NCC Group, a operação é responsável por 29% de todos os ataques de ransomware no mundo.
Embora o nome do grupo venha de uma criatura mitológica chinesa, a Bitdefender acredita que o Qilin tenha raízes russas. Sua investigação descobriu que um de seus membros fundadores, "BianLian", se comunica em russo e inglês e é muito ativo em fóruns de cibercrime de língua russa.
O grupo também evita atacar organizações na Comunidade dos Estados Independentes dent uma regra comum entre as operações de ransomware baseadas na Rússia.
A Qilin recruta hackers para realizar seus ataques, enquanto os operadores principais ficam com uma parte dos lucros ilícitos. O grupo também se vangloria de ter "uma equipe interna de jornalistas" para ajudar os afiliados a elaborar mensagens de extorsão e publicações para sua plataforma de vazamento de dados.
Segundo a análise da Bitdefender sobre a campanha Korean Leaks, os hackers se fizeram passar por “ativistas” e “patriotas”, usando linguagem política para produzir mensagens com tom de propaganda, e visaram todo o setor financeiro do país.
Num caso ocorrido em 20 de agosto, envolvendo uma construtora, os atacantes alertaram que os dados roubados tinham “valor para a inteligência militar”. A mensagem afirmava que plantas e desenhos de centenas de projetos concluídos, incluindo pontes e tanques de gás natural liquefeito, estavam agora acessíveis ao público.
"Um relatório sobre o conteúdo desses documentos já está sendo preparado para o camarada Kim Jong-un", dizia uma das discussões vazadas nos fóruns do Qilin, insinuando que hackers estavam compartilhando informações com a do grupo norte-coreano .
A Qilin roubou um total de 2 TB de dados em três ondas.
Segundo a Bitdefender, a operação Korean Leaks se desenrolou em três ondas que resultaram no roubo de mais de 1 milhão de arquivos e 2 TB de dados de 28 vítimas conhecidas. Publicações ligadas a outras quatro entidades foram posteriormente removidas do site de vazamento de dados, possivelmente como resultado de pagamentos de resgate ou decisões internas dos operadores.
A primeira leva de denúncias foi divulgada em 14 de setembro e incluiu 10 vítimas do setor de gestão financeira. A segunda leva ocorreu entre 17 e 19 de setembro, adicionando mais nove casos, enquanto a terceira foi divulgada entre 28 de setembro e 4 de outubro, visando outras nove organizações.
“Temos dados sobre dezenas de empresas. O Korean Leak é um motivo para retirar dinheiro do mercado de ações do país, porque temos um volume de dados cuja publicação deficausará um sério prejuízo a todo o mercado coreano. E nós defifaremos isso”, dizia uma das ameaças dos hackers durante a segunda onda.
A Bitdefender afirmou que os atacantes apresentaram a campanha como uma tentativa de expor a corrupção, incluindo ameaças de divulgar documentos que poderiam ser "provas de manipulação do mercado de ações" e nomes de "políticos e empresários conhecidos na Coreia".
Em 23 de setembro, o jornal coreano JoongAng Daily noticiou que mais de 20 empresas de gestão de ativos foram infectadas por ransomware após a violação de segurança de um provedor de serviços chamado GJTec.
Não leia apenas notícias sobre criptomoedas. Entenda-as. Assine nossa newsletter. É grátis .
Artigos Recomendados
