Trabajadores de TI norcoreanos exigen rescate por datos robados

Iniciado por Dragora, Octubre 21, 2024, 07:46:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Los trabajadores norcoreanos de tecnología de la información (TI) que se infiltran en empresas occidentales con identidades falsas no solo están robando propiedad intelectual, sino que también han comenzado a exigir rescates a cambio de no filtrar información confidencial. Este comportamiento marca una nueva fase en sus ataques, que anteriormente solo tenían motivaciones financieras más discretas.

Nuevas tácticas de extorsión en ataques cibernéticos


Según un análisis reciente publicado por la Unidad de Contraamenazas (CTU) de Secureworks, los trabajadores fraudulentos norcoreanos han intensificado sus actividades, solicitando rescates a sus empleadores después de obtener acceso a información sensible. "En algunos casos, los trabajadores fraudulentos exigieron el pago de un rescate a sus antiguos empleadores después de obtener acceso a información privilegiada", declaró Secureworks, añadiendo que esta táctica no se había observado en esquemas anteriores.

Un caso reciente destaca cómo un contratista comenzó a exfiltrar datos poco después de haber comenzado a trabajar en una empresa occidental a mediados de 2024. Esta actividad ha sido vinculada a un grupo de amenazas conocido como Nickel Tapestry, también identificado como Famous Chollima y UNC5267.

Cómo operan los trabajadores norcoreanos en empresas occidentales

El esquema detrás de estos ataques implica la infiltración de trabajadores de TI en empresas occidentales con el objetivo de generar ingresos ilícitos para Corea del Norte, una nación asfixiada por las sanciones internacionales. Estos trabajadores suelen ser enviados a países como China y Rusia, desde donde se hacen pasar por freelancers buscando oportunidades laborales en el sector tecnológico.

En otros casos, se ha descubierto que roban la identidad de personas legítimas residentes en los Estados Unidos para conseguir empleos en empresas occidentales. Estas identidades falsas les permiten acceder a información privilegiada y sistemas críticos de las empresas.

Redirección de equipos y tácticas de evasión

Además de las técnicas comunes de suplantación, algunos trabajadores norcoreanos han solicitado cambios en las direcciones de entrega de los equipos de TI enviados por la empresa, redirigiéndolos a intermediarios que luego permiten a los atacantes instalar software de escritorio remoto. Este software facilita el acceso a los sistemas corporativos desde Corea del Norte, sin levantar sospechas inmediatas.

También se han reportado casos en los que varios contratistas falsos son contratados por la misma empresa, o una persona asume varias identidades, complicando aún más la detección de la amenaza. Según Secureworks, estos trabajadores han pedido usar sus propios equipos personales en lugar de los proporcionados por la empresa, lo que elimina rastros forenses y permite mayor control desde el exterior.

Nuevas tácticas de extorsión: un riesgo creciente

Una escalada significativa en la táctica de los trabajadores norcoreanos ha sido la aparición de correos electrónicos de extorsión enviados por contratistas despedidos por bajo rendimiento. En un caso reciente, un trabajador envió archivos adjuntos con pruebas de los datos robados, exigiendo un rescate para no divulgarlos públicamente.

Rafe Pilling, director de inteligencia de amenazas de Secureworks, destacó que este cambio en la táctica aumenta el riesgo asociado con la contratación inadvertida de trabajadores norcoreanos. "Ya no buscan solo un salario fijo, sino que ahora apuntan a sumas más altas y más rápidas, obtenidas a través del robo de datos y la extorsión desde dentro de las defensas corporativas", señaló Pilling.

La operación norcoreana afecta a cientos, si no miles, de puestos de trabajo en todo el mundo, y aunque solo un pequeño porcentaje de estos casos termina en extorsión, el riesgo está aumentando, especialmente en empresas que desarrollan software o emplean contratistas remotos.

Cómo protegerse de la amenaza norcoreana

Para mitigar esta creciente amenaza, se insta a las empresas a mejorar sus procesos de verificación de identidad durante el reclutamiento. Algunas medidas preventivas incluyen:

  • Realizar entrevistas en persona o en video para confirmar la identidad del candidato.
  • Realizar exhaustivos controles de identidad, utilizando bases de datos confiables.
  • Estar atentos a intentos de redirigir la entrega de equipos de TI corporativos a direcciones distintas de las declaradas.
  • Monitorear el uso de herramientas de acceso remoto no autorizadas por parte de los trabajadores.
  • Revisar cualquier solicitud de cambiar el destino de los cheques de pago a servicios de transferencia de dinero sospechosos.

La alerta del FBI sobre estos esquemas subraya la necesidad de que las empresas mantengan una vigilancia constante. Además, el comportamiento evasivo, como la negativa de los trabajadores a habilitar el video durante las reuniones, puede ser una señal de alerta temprana de fraude.

En fin, la aparición de demandas de rescate marca un cambio importante en la forma en que los trabajadores norcoreanos de TI operan en empresas occidentales. Lo que solía ser una estrategia enfocada solo en el robo de propiedad intelectual se ha convertido en un esquema de extorsión más directo. Protegerse contra estas amenazas requiere un enfoque proactivo en la contratación y la seguridad de los sistemas corporativos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta