A Microsoft tem identificou Moonstone Sleet, um grupo de hackers norte-coreano, como a entidade por trás do ransomware FakePenny, que levou a pedidos de resgate totalizando milhões de dólares. Este grupo, anteriormente conhecido como Storm-17, tem como alvo uma ampla gama de setores, incluindo finanças, espionagem cibernética, software, tecnologia da informação, educação e defesa.
Métodos de ataque exclusivos e personalizados Ferramentas
Moonstone Sleet desenvolveu sua própria infraestrutura e ferramentas, divergindo das táticas de outros grupos norte-coreanos. Inicialmente, seus métodos espelhavam os do Diamond Sleet, outro grupo norte-coreano, com extensa reutilização de código do malware do Diamond Sleet, como o Comebacker. As técnicas do Moonstone Sleet incluíam o uso de mídias sociais para distribuir software trojanizado. Com o tempo, eles mudaram para sua própria infraestrutura personalizada e métodos de ataque, embora ambos os grupos continuem a operar simultaneamente.
Em abril, Moonstone Sleet implantou uma variante personalizada do ransomware FakePenny, exigindo US$ 6,6 milhões em Bitcoin, um aumento significativo em relação às demandas anteriores de ransomware norte-coreanas de US$ 100.000. A análise da Microsoft sugere que, embora o ganho financeiro seja a principal motivação, o histórico de espionagem cibernética do grupo indica um foco duplo na geração de receita e na coleta de inteligência.
Métodos de infiltração
O grupo empregou vários métodos para interagir com potenciais vítimas. Isso inclui software trojanizado como PuTTY, jogos maliciosos como DeTankWar, pacotes npm e empresas falsas de desenvolvimento de software como StarGlow Ventures e C.C. Cachoeira. Essas entidades falsas têm sido usadas para interagir com alvos em plataformas como LinkedIn, Telegram, redes de freelancers e e-mail.
Moonstone Sleet faz parte de um padrão mais amplo de atividades cibernéticas norte-coreanas. O Grupo Lazarus foi anteriormente responsabilizado pelo surto de ransomware WannaCry em maio de 2017, que afetou centenas de milhares de computadores em todo o mundo. Mais recentemente, em julho de 2022, a Microsoft e o FBI vincularam hackers norte-coreanos ao operação de ransomware do Espírito Santo e a Ataques de ransomware Maui em organizações de saúde.
Visando desenvolvedores de software e o setor aeroespacial
Moonstone Sleet também tem como alvo desenvolvedores de software usando pacotes npm maliciosos e buscando emprego em cargos de desenvolvimento de software em empresas legítimas para obter acesso às organizações. O grupo comprometeu empresas do setor aeroespacial, incluindo aquelas envolvidas em tecnologia de drones e peças de aeronaves. Suas táticas evoluíram a partir das de outros atores de ameaças norte-coreanos, indicando um possível compartilhamento de conhecimentos e técnicas.
Moonstone Sleet e Diamond Sleet conduziram operações simultaneamente, usando técnicas e códigos semelhantes. Isto sugere um esforço coordenado dentro das operações cibernéticas norte-coreanas, com diferentes grupos partilhando recursos e métodos para alcançar os seus objetivos.
