El grupo APT Andariel amplía su arsenal de malware y la geografía de sus ataques
- Endpoint
Los ataques de este subgrupo de Lazarus incluían modificaciones del spyware DTrack, así como el uso del nuevo ransomware Maui contra organizaciones de alto nivel en Estados Unidos, Japón, India, Vietnam y Rusia. El grupo ha empezado a desplegar ransomware a escala global.
Los expertos de Kaspersky han descubierto nuevos ataques de Andariel, un subgrupo de amenazas persistentes avanzadas (APT) de Lazarus, que en julio de 2022 atacó a organizaciones públicas y sanitarias con el ransomware Maui.
El análisis muestra que Andariel ha desplegado el malware DTrack, que ejecuta un shellcode incrustado, con una carga útil final de Windows que se aloja en la memoria. Según Kaspersky Threat Attribution Engine, este spyware habría sido creado por el grupo Lazarus y se utiliza para cargar y descargar archivos en los sistemas de las víctimas, registrar las pulsaciones del teclado y realizar otras acciones típicas de una herramienta de administración remota maliciosa (RAT). DTrack recopila información del sistema y el historial del navegador a través de comandos de Windows.
Este nuevo malware utilizado por Andariel en 2021 y 2022 ha sido bautizado como Maui ransomware. Los expertos de Kaspersky identificaron su lanzamiento tras el despliegue de DTrack en una organización. Maui ha sido empleado para ataques en múltiples ocasiones, principalmente dirigidos a empresas de Estados Unidos y Japón. Los analistas de Kaspersky han evaluado que el actor es oportunista y puede comprometer a cualquier empresa de todo el mundo, independientemente de su tipo de negocio, centrándose en su buena situación financiera.
"Llevamos años rastreando al grupo Andariel APT y vemos que sus ataques evolucionan constantemente. Lo que requiere una atención especial es que el grupo ha empezado a desplegar ransomware a escala global, lo que demuestra motivaciones e intereses financieros continuos", comenta Kurt Baumgartner, experto en seguridad de Kaspersky.