La unidad de investigación de Silikn confirmó algunos reportes de analistas del sector que señalan que ciberatacantes de origen norcoreano han estado desarrollando, desde finales de 2021, un ransomware conocido como H0lyGh0st. Con la finalidad de poder rastrearlo, los analistas han nombrado a este grupo cibercriminal con el mismo nombre del ransomware.
H0lyGh0st ha tenido como objetivo micro, pequeñas y medianas empresas (PyMES), la gran mayoría de las cuales son proveedores de grandes corporativos de los sectores de manufactura, fábricas, bancos y servicios financieros, energía, criptomonedas y sistemas de seguridad y defensa. Por lo que se estima que este grupo cibercriminal está intentando tener acceso a grandes empresas a través de la vulneración y usurpación de la identidad de sus aliados de negocios y proveedores comerciales.
H0lyGh0st ha enfocado sus ataques a micro, pequeñas y medianas empresas de Corea del Sur, Estados Unidos, India y, de acuerdo con un análisis reciente, podría estar dirigiendo sus ataques, antes de finalizar 2022, contra países de América Latina como México, Colombia, Argentina, El Salvador, Perú, Brasil y Panamá, por mencionar los principales.
La metodología estándar del grupo es cifrar todos los archivos en el dispositivo de la víctima, enviar una muestra de los archivos como prueba y luego exigir el pago en criptomonedas a cambio de restaurar el acceso a los archivos. Como parte de sus tácticas de extorsión, también amenazan con publicar los datos de las víctimas en las redes sociales o enviar los datos a los clientes de las víctimas si se niegan a pagar.
De acuerdo con analistas, H0lyGh0st tiene una estrecha relación con otro grupo cibercriminal de Corea del Norte conocido como Plutonium — grupo que desde 2014 ha atacado a empresas de energía y defensa en India, Estados Unidos y Corea del Sur y que es también conocido como DarkSeoul o Andariel. Plutonium es un grupo que opera bajo el respaldo de Lazarus, también conocido como Zinc o Hidden Cobra –. Las investigaciones demuestran que H0lyGh0st y Plutonium operan desde las mismas infraestructuras e incluso utilizan controladores de malware personalizados con nombres similares.
Algunos datos señalan que las actividades de H0lyGh0st podrían estar patrocinadas por el gobierno de Corea del Norte y que tiene fines monetarios, una vez que la economía de Corea del Norte ha tenido un descenso desde 2014, 2015 y 2016, debido a las sanciones de aliados occidentales, los desastres naturales que incluyen las fuertes sequías o el mismo aislamiento del mundo exterior que instauró el gobierno tras la aparición del COVID-19.
Es así como aparece H0lyGh0st y sus actividades tienen más sentido, pues buscan compensar las pérdidas financieras atacando diferentes tipos de sectores, con especial énfasis en el bancario y de servicios financieros. En este sentido, parte de estos grupos norcoreanos han atacado con fuerza, desde 2017, a diferentes sistemas y billeteras de criptomonedas, respaldados por el mismo gobierno norcoreano.
El desarrollo de H0lyGh0st también se produce a medida que el panorama del ransomware está evolucionando con grupos de ransomware nuevos y existentes, como LockBit, Hive, Lilith, RedAlert y 0mega, los cuales lejos de competir, podrían estar buscando establecer alianzas estratégicas para incrementar su impacto.