Jumpy Pisces, un actor de amenazas patrocinado por el estado de Corea del Norte, también conocido como Onyx Sleet o Andariel, ha cambiado recientemente su enfoque hacia ransomware ataques, han advertido los expertos.
En un análisis técnico reciente, investigadores de la Unidad 42 dijeron que aunque Jumpy Pisces se había centrado anteriormente en ciberespionaje y delitos financieros, en los últimos tiempos se ha asociado con el infame grupo Play Ransomware (también conocido como Fiddling Scorpius).
Play surgió en el verano de 2022 y desde entonces se ha convertido en un formidable actor de amenazas, hasta el punto de que en diciembre de 2023, el El FBI advirtió sobre este grupo, afirmando que comprometió a unas 300 víctimas en su primer año y medio de existencia.
Corredores de acceso inicial
“Desde junio de 2022, el grupo de ransomware Play (también conocido como Playcrypt) ha afectado a una amplia gama de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa”, dijo la agencia en ese momento. “En octubre de 2023, el FBI tenía conocimiento de aproximadamente 300 entidades afectadas supuestamente explotadas por actores de ransomware”.
El papel que juega Jumpy Piscis en esta asociación no está determinado definitivamente, pero lo más probable es que actúe como un intermediario de acceso inicial (IAB), abriendo las puertas de los operadores de Play a diferentes víctimas.
La Unidad 42 cree que este cambio es significativo porque muestra que Jumpy Piscis se está involucrando más en actividades de ransomware y está utilizando la infraestructura de ransomware existente en lugar de construir la suya propia. Eso hace que los ataques sean más sofisticados y posiblemente más generalizados.
Sin embargo, pitidocomputadora Añadió que en un ataque de ransomware promedio, hay varias partes involucradas. Hoy en día, la mayoría de las variantes de ransomware funcionan según un modelo “como servicio”, lo que significa que los desarrolladores no son quienes infectan a las víctimas y que los dos terminan dividiendo las ganancias finales. Agregue IAB a la mezcla y ahora hay al menos tres actores de amenazas separados involucrados en un solo ataque.
En cualquier caso, las empresas deberían estar más alerta, concluyen los investigadores, advirtiendo que este nuevo equipo podría provocar infecciones graves de ransomware.
