Andariel Cybercriminal Group tem como alvo usuários sul-coreanos
Em abril de 2021, especialistas em segurança cibernética identificaram uma nova campanha de spam por e-mail, que tinha como alvo os usuários coreanos com o uso de documentos falsos que estavam misturados com scripts maliciosos. O objetivo da campanha era entregar uma carga maliciosa que não aparentava estar relacionada a famílias de malware conhecidas anteriormente. Depois de analisar o comportamento e a infraestrutura do malware, os pesquisadores notaram que esses dois aspectos do ataque eram estranhamente semelhantes a campanhas anteriores realizadas pelo Lazarus APT . Eles acreditam que a campanha de abril foi realizada por um subgrupo do ator Lazarus Advanced Persistent Threat (APT), atualmente conhecido como Andariel.
O Andariel Criminal Group tem contado com uma porta dos fundos personalizada para sua campanha recente, mas algumas das vítimas também foram infectadas com ransomware em um estágio posterior. O rastreamento da atividade do Andariel Criminal Group mostra que eles estiveram anteriormente envolvidos em um ataque com motivação financeira, que teve como alvo dispositivos ATM.
Vítimas do Grupo Criminoso Andariel em abril foram abordadas por meio de documentos macro-atados entregues por e-mail. Os ataques visam entidades e usuários principalmente na Coreia do Sul, e parece que os criminosos estão implantando manualmente cargas adicionais após a infecção backdoor inicial ser concluída. O ransomware que eles usam também é feito sob medida, mas é semelhante a outros armários de arquivos que circulam na Internet. O ransomware do Andariel Criminal Group irá:
- Criptografe arquivos, ignorando arquivos críticos do sistema como EXE, SYS, DLL, etc.
- Peça à vítima para pagar uma taxa de resgate via Bitcoin.
- Forneça a ID da vítima e o endereço de e-mail do invasor para contato.
A julgar pelo ataque anterior do Andariel Criminal Group contra caixas eletrônicos e a campanha de ransomware atualmente ativa, é seguro presumir que as operações do grupo são principalmente motivadas financeiramente. Este subgrupo do Lazarus APT parece estar captando sua atividade, então pode não demorar muito para mais detalhes sobre suas operações e superfícies de malware.