Os trabalhadores norte-coreanos das Tecnologias de Informação (TI) que encontram trabalho sob identidades falsas em empresas ocidentais não estão apenas a roubar propriedade intelectual, mas também a aumentar os pedidos de resgate por fugas de informação, marcando uma nova reviravolta nos seus ataques orientados para o dinheiro.
“Em alguns casos, funcionários fraudulentos exigiram pagamentos de resgate de seus ex-empregadores após obterem acesso ao interior, uma tática não vista em programas anteriores”, disse a Secureworks Counter Threat Unit (CTU) em uma análise publicada esta semana. “Em um caso, o empreiteiro divulgou informações proprietárias logo após iniciar o trabalho, em meados de 2024.”
A operação, acrescentou a empresa de segurança cibernética, compartilha semelhanças com um grupo malicioso que rastreia como Nickel Tapestry, também conhecido como Famous Chollima e UNC5267.
O falso programa de trabalhadores de TI, concebido para promover os interesses estratégicos e financeiros da Coreia do Norte, refere-se a uma operação interna que envolve empresas que entram no Ocidente para obter capital ilegal para o país atingido por sanções.
Estes trabalhadores norte-coreanos são frequentemente enviados para países como a China e a Rússia, onde se apresentam como candidatos independentes a emprego. Como outra opção, também são consideradas identidades de pessoas jurídicas que vivem nos EUA para atingir os mesmos objetivos.
Eles também são conhecidos por solicitar alterações nos endereços de entrega de laptops fornecidos pela empresa, que muitas vezes entregam a consultores de laptops agrícolas, que são compensados por seus esforços por assistentes expatriados e são responsáveis pela instalação de software de desktop remoto habilitado pela Coreia do Norte. jogadores se conectam a computadores.
Além disso, muitos empreiteiros podem acabar sendo contratados pela mesma empresa ou, caso contrário, uma pessoa pode contratar várias pessoas.
A Secureworks disse que também viu casos em que falsos empreiteiros solicitaram permissão para usar seus laptops e até fizeram com que organizações cancelassem totalmente as remessas de laptops porque mudaram o endereço de entrega durante o transporte.
“Esse comportamento é consistente com a estratégia da Nickel Tapestry de tentar evitar laptops corporativos, eliminando potencialmente a necessidade de ajuda doméstica e reduzindo o acesso a evidências forenses”, afirmou. “Essa estratégia permite que os prestadores de serviços utilizem seus laptops para acessar remotamente a rede da organização”.
Num sinal de que os agentes de ameaças estão a evoluir e a levar as suas operações para o próximo nível, surgiram evidências que mostram como um contratante que foi despedido por uma empresa não identificada por mau desempenho passou a enviar e-mails de phishing, incluindo anexos ZIP com prova de roubo. dados.
“Esta mudança altera significativamente o perfil de risco associado à contratação de pessoal de TI norte-coreano”, disse Rafe Pilling, Diretor de Inteligência de Ameaças da Secureworks CTU, em comunicado. “Eles não têm mais empregos com salários baixos, querem muito dinheiro, rápido, por meio de roubo de dados e fraude, dentro da segurança da empresa”.
Para lidar com esta ameaça, as organizações foram instadas a exercer vigilância durante o recrutamento, incluindo verificações de identidade, realização de entrevistas presenciais ou em vídeo e esforços para reutilizar equipamentos de TI da empresa enviados a prestadores de serviços terceirizados. endereço residencial, direcionando pagamentos para serviços de transferência de dinheiro e acessando a rede corporativa por meio de dispositivos de acesso remoto não autorizados.
“Essa escalada e o comportamento listado no alerta do FBI mostram o cálculo desses programas”, disse a Secureworks CTU, apontando para o comportamento financeiro suspeito dos funcionários e seus esforços para evitar a ativação do vídeo durante as chamadas.
“O surgimento de pedidos de resgate marca um afastamento significativo dos planos anteriores da Nickel Tapestry. No entanto, a atividade observada antes do roubo é consistente com planos anteriores envolvendo trabalhadores norte-coreanos.”
