Grupo de hackers na Coreia do Norte relacionado com ataques ransomware do grupo Play
Foi descoberto que um grupo de hackers da Coreia do Norte, conhecido como “Andariel”, encontra-se associado com a onda de ataques de ransomware “Play”, um RaaS que tem vindo a trabalhar para contornar algumas das proteções aplicadas contra este formato de malware.
De acordo com os investigadores da Palo Alto Networks, o grupo Andariel tem vindo a trabalhar diretamente ou de forma afiliada com os criadores do ransomware Play, facilitando a distribuição do mesmo.
O Andariel é um grupo conhecido por ter ligações com as autoridades da Coreia do Norte, e usado sobretudo para ataques de estado contra instituições que sejam do interesse do regime norte-coreano. O grupo tem vindo a surgir em vários casos de ataques de ransomware desde 2022, sendo um dos primeiros relatados os do ransomware Maui.
Acredita-se que o grupo esteja diretamente associado com os ataques, usando Ransomware-as-a-Service como forma de infetar as redes internas das empresas e obter dados potencialmente importantes para o governo da Coreia do Norte.
Desconhece-se como a “parceria” entre as duas partes encontra-se a ser feita. Os investigadores não conseguiram obter provas de que o grupo Andariel estariam como afiliado do Ransomware, ou apenas estaria a fornecer os acessos diretos para os atacantes em redes já comprometidas, de forma a estes ativarem o malware nas mesmas.