Hackers norcoreanos roban criptomonedas tras engañar a un desarrollador con un archivo troyanizado

Un grupo de hackers norcoreanos, conocidos como UNC4899, logró infiltrarse en una empresa de criptomonedas y robar millones de dólares. ¿Cómo lo hicieron? Engañaron a un desarrollador para que instalara un archivo malicioso en su ordenador de trabajo. Este ataque pone de manifiesto los riesgos de transferir archivos entre dispositivos personales y de trabajo.

Cómo funciona el ataque

Todo comenzó con un engaño de ingeniería social. Los atacantes convencieron al desarrollador de que descargara un archivo aparentemente legítimo como parte de un proyecto de código abierto. El desarrollador, sin saberlo, transfirió este archivo a su ordenador de la empresa usando AirDrop. Al ejecutar el archivo, se activó un código malicioso (malware) que actuó como puerta trasera (backdoor), permitiendo a los hackers acceder a la red de la empresa a través de la cuenta del desarrollador.

• Los hackers usaron esta entrada para moverse dentro de la red, buscando información sobre servicios y proyectos.
• Modificaron la autenticación multifactor (MFA) de un servidor para obtener acceso y seguir explorando. La autenticación multifactor es una medida de seguridad que requiere más de una forma de verificación para acceder a una cuenta.
• Luego, alteraron la configuración de Kubernetes (un sistema para gestionar aplicaciones en la nube) para ejecutar comandos maliciosos cada vez que se creaban nuevos componentes.
• Finalmente, lograron robar credenciales de bases de datos, modificar cuentas de usuario y retirar millones de dólares en criptomonedas.

A quién afecta

Este ataque afectó directamente a una empresa de criptomonedas, pero pone en alerta a todas las organizaciones que manejan información sensible en la nube. Los atacantes aprovecharon vulnerabilidades en la forma en que la empresa gestionaba sus credenciales y permisos en la nube.

Qué medidas tomar

Google Cloud, quien investigó el ataque, recomienda a las empresas implementar una estrategia de defensa en profundidad. Esto significa:

• Validar rigurosamente la identidad de los usuarios.
• Restringir la transferencia de datos entre dispositivos personales y corporativos.
• Establecer un control de acceso estricto en entornos de nube.
• Usar autenticación multifactor resistente al phishing.
• Supervisar los procesos en contenedores para detectar actividades sospechosas.
• Gestionar las credenciales de forma segura.
• Deshabilitar o restringir el intercambio de archivos P2P (como AirDrop o Bluetooth) y el uso de dispositivos externos no gestionados en dispositivos corporativos.

Qué significa esto para ti

Este incidente demuestra que incluso un simple acto como transferir un archivo desde un dispositivo personal al trabajo puede tener consecuencias devastadoras. Tanto usuarios como empresas deben ser conscientes de los riesgos y tomar medidas para protegerse. Para los usuarios, esto implica ser cautelosos con los archivos que descargan y comparten. Para las empresas, es crucial implementar políticas de seguridad robustas y educar a sus empleados sobre las amenazas cibernéticas.