Los estudios de este año han demostrado que Corea del Norte ha incrementado sus intentos de piratería en intercambios y servicios de criptomonedas en un 370% en diciembre del año pasado, y ahora un nuevo informe emitido por la compañía de seguridad cibernética Record Future ha revelado que el país utiliza malware similar al Virus WannaCry para robar miles de dólares en criptomonedas.
El informe aclara que una coalición de pirateo de Corea del Norte apodada “Lazarus Group” (conocida por las agencias de Estados Unidos como “Hidden Cobra”) está detrás de los diversos ataques que han afectado a numerosos intercambios y servicios de custodia surcoreanos.
Específicamente, Recorded Futures explica que “los actores del gobierno de Corea del Norte, específicamente Lazarus Group, siguieron apuntando a los intercambios y usuarios de criptomonedas de Corea del Sur a finales de 2017, antes del discurso de Año Nuevo de Kim Jong Un y el posterior diálogo Norte-Sur.
El malware empleó el código compartido con el código Destover, que se utilizó contra Sony Pictures Entertainment en 2014 y la primera víctima de WannaCry en febrero de 2017“.
Recorded Futures describe que el malware utilizado en tales ataques aprovecha un conocido exploit de Ghostscript y está “diseñado para apuntar sólo a usuarios de un procesador de textos en coreano, el procesador de textos Hangul, de Hancom”.
Los informes han demostrado que sólo entre enero y septiembre de 2017, se han producido más de 5.366 ataques de ransomware dirigidos a entidades relacionadas con criptomonedas. Entre los meses de julio y agosto, la Agencia de Seguridad e Internet de Corea (KISA) descubrió software malicioso alojado en los sistemas de escritorio de muchas bolsas de bitcoins de Corea del Sur.
Recorded Futures siguió investigando una serie de operaciones de phishing dirigidas a empleados de instituciones financieras de Corea del Sur. La firma descubrió que Lazarus Group se dirigió específicamente a los empleados del intercambio surcoreano Coinlink, así como a un grupo de estudiantes surcoreanos conocidos como los “Amigos del Ministerio de Asuntos Exteriores”, que se reúnen para expresar su interés en dicho particular.
Este tipo de operaciones de Corea del Norte se enfocaron primero en instituciones financieras en 2016, en un intento por eludir las sanciones impuestas contra la nación por potencias internacionales como Estados Unidos y las Naciones Unidas.
Bajo el Grupo Lazarus, los actores en cuestión comenzaron a apuntar hacia las criptomonedas en febrero de 2017, tomando su primer gran botín en criptomonedas (un estimado de US$ 7 millones) del intercambio surcoreano Bithumb.
Atacar las operaciones relacionadas con criptomonedas, específicamente aquellas que involucran a Bitcoin, proporciona a Corea del Norte una forma de salvavidas, considerando las sanciones económicas internacionales de las que es objeto, principalmente por los Estados Unidos.
