Hackers norcoreanos expuestos tras intrusión en JumpCloud, resalta necesidad de cooperación internacional contra ciberdelincuencia

Hackers norcoreanos atacan los sistemas de JumpCloud

Investigadores de seguridad afirman tener una alta confianza de que hackers norcoreanos estuvieron detrás de una reciente intrusión en la empresa de software empresarial JumpCloud debido a un error que cometieron los hackers.

El grupo de seguridad Mandiant, que está ayudando a uno de los clientes afectados de JumpCloud, atribuyó la brecha a hackers que trabajan para la Oficina General de Reconocimiento de Corea del Norte, conocida como RGB, una unidad de piratería que se enfoca en empresas de criptomonedas y roba contraseñas de ejecutivos y equipos de seguridad. Corea del Norte ha utilizado durante mucho tiempo robos de criptomonedas para financiar su programa nuclear sancionado.

En una publicación de blog, Mandiant dijo que la unidad de piratería, a la que llama UNC4899 (ya que es un nuevo grupo de amenazas no clasificado), expuso por error sus direcciones IP del mundo real. Los hackers norcoreanos a menudo usaban servicios VPN comerciales para ocultar sus direcciones IP, pero en "muchas ocasiones" las VPN fallaron o los hackers no las usaron al acceder a la red de la víctima, exponiendo su acceso desde Pyongyang.

Mandiant dijo que su evidencia respalda que esto fue "un descuido de OPSEC", refiriéndose a la seguridad operativa, la forma en que los hackers intentan evitar que la información sobre su actividad se filtre como parte de sus campañas de piratería. Los investigadores también descubrieron infraestructura adicional utilizada en esta intrusión que se había utilizado previamente en ataques atribuidos a Corea del Norte.

"Los actores de amenazas relacionados con Corea del Norte continúan mejorando sus capacidades ofensivas cibernéticas para robar criptomonedas. En el último año, los hemos visto llevar a cabo múltiples ataques a la cadena de suministro, envenenar software legítimo y desarrollar y desplegar malware personalizado en sistemas MacOS", dijo Charles Carmakal, CTO de Mandiant. "En última instancia, quieren comprometer empresas con criptomonedas y han encontrado formas creativas de lograrlo. Pero también cometen errores que nos han ayudado a atribuirles varias intrusiones".

SentinelOne y CrowdStrike también confirmaron que Corea del Norte estuvo detrás de la intrusión en JumpCloud.

JumpCloud dijo en una breve publicación la semana pasada que menos de cinco de sus clientes corporativos y menos de 10 dispositivos fueron objetivo de la campaña de piratería norcoreana. JumpCloud restableció las claves de API de sus clientes después de informar de la intrusión en junio. JumpCloud cuenta con más de 200,000 clientes empresariales, incluyendo GoFundMe, ClassPass y Foursquare.

Saldo de la intrusión en JumpCloud

Aunque JumpCloud ha informado de que solo unos pocos de sus clientes y dispositivos fueron afectados por la intrusión, el ataque de los hackers norcoreanos podría tener consecuencias graves para las empresas afectadas. Los expertos en seguridad advierten que los hackers podrían haber robado información confidencial y contraseñas de ejecutivos y equipos de seguridad, lo que podría comprometer la seguridad de las empresas.

Además, la intrusión en JumpCloud pone de relieve la creciente amenaza que representan los hackers patrocinados por estados-nación. Estos hackers, respaldados por gobiernos extranjeros, tienen los recursos y las habilidades para llevar a cabo ataques altamente sofisticados y persistentes. Es fundamental que las empresas tomen medidas proactivas para protegerse contra estas amenazas, implementando medidas de seguridad robustas y manteniendo una vigilancia constante de su infraestructura de TI.

Por otro lado, la atribución de la intrusión a Corea del Norte destaca la necesidad de una cooperación internacional más estrecha en la lucha contra la ciberdelincuencia. Los ataques cibernéticos no conocen fronteras y requieren una respuesta coordinada a nivel global. Los gobiernos y las empresas deben trabajar juntos para compartir información sobre amenazas, intercambiar mejores prácticas y fortalecer la seguridad cibernética en todo el mundo.

En resumen, el ataque de los hackers norcoreanos a los sistemas de JumpCloud pone de manifiesto los peligros cada vez mayores de la ciberdelincuencia patrocinada por estados-nación. Es fundamental que las empresas estén preparadas para enfrentar estas amenazas y tomen medidas proactivas para protegerse. Además, se requiere una mayor cooperación internacional para combatir eficazmente la ciberdelincuencia y garantizar la seguridad cibernética a nivel mundial.