Jumpy Pisces, un actor de amenazas patrocinado por el estado de Corea del Norte, también conocido como Onyx Sleet o Andariel, ha cambiado recientemente su enfoque a… ransomware Los expertos advirtieron sobre ataques.
En un análisis técnico reciente, investigadores de la Unidad 42 dijeron que aunque Jumpy Pisces anteriormente se centraba en el ciberespionaje y los delitos financieros, más recientemente ha colaborado con el notorio grupo Play Ransomware (también conocido como Fiddling Scorpius).
Los juegos aparecieron en el verano de 2022 y desde entonces se han convertido en un actor de amenazas formidable, hasta el punto de que en diciembre de 2023, El FBI advirtió Sobre este grupo, afirma que perjudicó a cerca de 300 víctimas en su primer año y medio de existencia.
Corredores de acceso inicial
“Desde junio de 2022, el grupo de ransomware Play (también conocido como Playcrypt) ha afectado a una amplia gama de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa”, dijo la agencia en ese momento. “En octubre de 2023, el FBI tenía conocimiento de aproximadamente 300 entidades afectadas que supuestamente fueron explotadas por actores de ransomware”.
El papel que desempeña Jumpy Piscis en esta asociación no se ha determinado definitivamente, pero probablemente actúa como un intermediario de acceso inicial (IAB), abriendo las puertas de los operadores de Play a varias víctimas.
La Unidad 42 cree que este cambio es significativo porque muestra que Jumpy Pisces se está involucrando más en actividades de ransomware y está utilizando la infraestructura de ransomware existente en lugar de construir la suya propia. Esto hace que los ataques sean más sofisticados y potencialmente más generalizados.
pero, pitidocomputadora Añadió que en un ataque de ransomware promedio, hay varias partes involucradas. La mayoría de los tipos de ransomware hoy en día funcionan según un modelo “como servicio”, lo que significa que los desarrolladores no son quienes infectan a las víctimas y que, al final, ambos terminan compartiendo las ganancias. Agregue IAB a la mezcla y ahora hay al menos tres actores de amenazas separados involucrados en un solo ataque.
En cualquier caso, las empresas deberían estar más alerta, concluyeron los investigadores, advirtiendo que este nuevo equipo podría provocar infecciones graves de ransomware.