Lazarus

El grupo Lazarus, conocido también como “Hidden Cobra” o APT38 por el Departamento de Seguridad Nacional de los Estados Unidos, opera activamente al menos desde 2009. Originalmente era un grupo criminal de ciberdelincuentes evolucionó hasta convertirse en una amenaza persistente avanzada (APT). Se cree que está patrocinado por el gobierno de Corea del Norte, lo que le proporciona amplios recursos y soporte operativo para llevar a cabo sus ataques y campañas.

Inicialmente, Lazarus se enfocaba en ataques contra entidades financieras, llevando a cabo robo de datos bancarios mediante el uso de ransomware. Sin embargo, a lo largo de los años, ha ampliado su alcance hacia el ciberespionaje y ataque hacia infraestructuras críticas. Se considera que su objetivo principal es financiar actividades del gobierno norcoreano y obtener información sensible que pueda beneficiar al país en términos de seguridad nacional, capacidad militar y estrategia geopolítica. Este enfoque en el espionaje y aumento de los fondos monetarios de las arcas Norcoreanas es uno de los aspectos que diferencia a Lazarus de otras APT, ya que logra equilibrar operaciones de ciberespionaje con un modelo de ingresos paralelo basados en ataques a entidades financieras y plataformas de criptomoneda.

Lazarus es conocido por emplear técnicas y tácticas avanzadas (TTPs) que incluyen ataques explotando zero-days, puertas traseras, spear-phishing y malware desarrollado especialmente para comprometer a sus objetivos. Entre sus herramientas más usadas están FALLCHILL, Brave Prince, VSingle y MagicRAT, Dtrack, Maui o BLINDINGCAN.

Entre los ataques más significativos que Lazarus ha perpetrado en la última década destacan:

• Ataque a Sony Pictures en 2014. Tras el lanzamiento de la película “The Interview”, que satirizaba al presidente norcoreano Kim Jong-Un, el grupo accedió a la red de Sony y filtró una gran cantidad de información confidencial. Entre estos datos se incluían correos electrónicos, datos de empleados y películas en desarrollo. Este ataque fue altamente mediático y evidenció la capacidad de Lazarus para atacar empresas de alto perfil, ya fuera por objetivos políticos o como represalia.
• Ransomware conocido como ‘WannaCry’. Lanzado en mayo de 2017, afectó a múltiples sectores en más de 150 países, incluidos sistemas de salud, empresas de telecomunicaciones como Telefónica e instituciones financieras. Este ransomware operaba cifrando los archivos de las víctimas y exigiendo un rescate en Bitcoin para su liberación. Logró paralizar por completo los sistemas de muchas organizaciones durante varios días. Para llevarlo a cabo, Lazarus explotó una vulnerabilidad conocida como EternalBlue, la vulnerabilidad fue publicada previamente por el NIST bajo el identificador CVE-2017-0144.
  En Telefónica, aunque el ataque no afectó directamente a sus clientes, sí comprometió sistemas internos y provocó un caos considerable en la red corporativa. La empresa no sufrió grandes pérdidas financieras, únicamente reputacionales. En España toda la atención se centro en Telefónica, aunque otro de los grandes afectados fueron los hospitales de Reino Unido del Servicio Nacional de Salud (NHS por sus siglas en inglés)

• En 2016, el Banco Central de Bangladesh sufrió un ataque en el que robaron 81 millones de dólares mediante una combinación de spear phishing e intrusión en sus sistemas financieros. Los atacantes lograron acceso inicial a la red del banco al infectar con malware el equipo de un empleado, permitiéndoles observar sus operaciones financieras sin ser detectados. Esto les permitió manipular el sistema de mensajería SWIFT y emitir transferencias fraudulentas a cuentas en Filipinas y Sri Lanka. Aunque intentaron sustraer cerca de 1.000 millones de dólares, el ataque fue detectado parcialmente.
• El grupo ha llegado incluso a atacar plataformas de intercambio de criptomonedas utilizando técnicas de malware avanzadas afectando a estas plataformas como el juego el juego Axie Infinity, en marzo de 2022, robando más de 600 millones de dólares.

En la actualidad, Lazarus, se centra principalmente en ataques relacionados con el sector de criptomonedas e instituciones financieras. Utiliza aplicaciones troyanizadas para robar claves privadas y explotar vulnerabilidades en estos sistemas. Este enfoque se ha intensificado con el auge de las criptomonedas, un sector que Lazarus ha identificado como una fuente de financiación para el estado Norcoreano considerable.