BlueNoroff, parte del Lazarus Group patrocinado por el estado de Corea del Norte, ha renovado su objetivo de empresas de capital de riesgo, empresas emergentes de criptomonedas y bancos. El laboratorio de ciberseguridad Kaspersky informó que el grupo ha mostrado un aumento en la actividad después de una pausa durante la mayor parte del año y está probando nuevos métodos de entrega para su malware.

BlueNoroff ha creado más de 70 dominios falsos que imitan a empresas de capital de riesgo y bancos. La mayoría de las falsificaciones se presentaban como conocidas empresas japonesas, pero algunas también asumieron la identidad de empresas estadounidenses y vietnamitas.

El grupo ha estado experimentando con nuevos tipos de archivos y otros métodos de entrega de malware, según el informe. Una vez instalado, su malware evade las advertencias de seguridad de Windows Mark-of-the-Web sobre la descarga de contenido y luego “intercepta grandes transferencias de criptomonedas, cambia la dirección del destinatario y lleva el monto de la transferencia al límite, esencialmente agotando la cuenta en una sola transacción.”

Relacionado: Lazarus de Corea del Norte detrás de años de hackeos criptográficos en Japón – Policía

Según Kaspersky, el problema con los actores de amenazas está empeorando. El investigador Seongsu Park dijo en un comunicado:

“El próximo año estará marcado por las ciberepidemias de mayor impacto, cuya fuerza nunca antes se había visto. […] En el umbral de nuevas campañas maliciosas, las empresas deben estar más seguras que nunca”.

El subgrupo BlueNoroff de Lazarus se identificó por primera vez después de que atacara el banco central de Bangladesh en 2016. Estaba entre un grupo de amenazas cibernéticas de Corea del Norte que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. y la Oficina Federal de Investigaciones mencionaron en una alerta emitida en abril.

Los actores de amenazas de Corea del Norte asociados con el Grupo Lazarus también han sido vistos intentando robar tokens no fungibles en las últimas semanas. El grupo fue responsable del exploit Ronin Bridge de 600 millones de dólares en marzo.