Se pronostican ciberataques de H0lyGh0st contra países de América Latina

La unidad de investigación de SILIKN ha confirmado algunos reportes de analistas del sector que señalan que ciberatacantes de origen norcoreano han estado desarrollando, desde finales de 2021, un ransomware conocido como H0lyGh0st, que se lanza y ejecuta principalmente contra micro, pequeñas y medianas empresas (MiPyMEs).

Con la finalidad de poder rastrearlo, los analistas han nombrado a este grupo cibercriminal con el mismo nombre que el ransomware que desarrollaron: H0lyGh0st.

Este grupo ha tenido como objetivo a las MiPyMEs, la gran mayoría de las cuales son proveedores de grandes corporativos de los sectores de manufactura, fábricas, bancos y servicios financieros, energía, criptomonedas y sistemas de seguridad y defensa. Por lo que se estima que este grupo cibercriminal está intentando tener acceso a grandes empresas a través de la vulneración y usurpación de la identidad de sus aliados de negocios y proveedores comerciales.

H0lyGh0st ha enfocado sus ataques en empresas de Corea del Sur, Estados Unidos, India y, de acuerdo con un análisis reciente, antes de finalizar 2022 podría dirigir sus ataques contra países de América Latina como Colombia, México, Argentina, El Salvador, Perú, Brasil y Panamá, entre otros.

La metodología estándar del grupo es cifrar todos los archivos en el dispositivo de la víctima, enviar una muestra de los archivos como prueba y luego exigir el pago en criptomonedas a cambio de restaurar el acceso a los archivos. Como parte de sus tácticas de extorsión, también amenazan con publicar los datos de las víctimas en las redes sociales o enviar los datos a los clientes de las víctimas si se niegan a pagar.

De acuerdo con analistas, H0lyGh0st tiene una estrecha relación con otro grupo cibercriminal de Corea del Norte conocido como Plutonium –grupo que opera bajo el respaldo de Lazarus, desde el 2014 ha atacado a empresas de energía y defensa en India, Estados Unidos y Corea del Sur y que es también conocido como DarkSeoul o Andariel–. Las investigaciones demuestran que H0lyGh0st y Plutonium operan desde las mismas infraestructuras e incluso utilizan controladores de malware personalizados con nombres similares.

El desarrollo de H0lyGh0st también se produce a medida que el panorama del ransomware está evolucionando con grupos de ransomware nuevos y existentes, como LockBit, Hive, Lilith, RedAlert y 0mega, los cuales lejos de competir, podrían estar buscando establecer alianzas estratégicas para incrementar su impacto.

Sobre el autor: Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad (CSCT).