Un recente attacco informatico ha coinvolto un gruppo nordcoreano, noto come Jumpy Pisces, che ha collaborato con il ransomware Play in un'operazione significativa. Questa collaborazione evidenzia le motivazioni finanziarie dietro l'attività di cyber criminalità sponsorizzata dallo stato nordcoreano. L'incidente, monitorato tra maggio e settembre 2024, rappresenta il primo caso documentato di collaborazione tra Jumpy Pisces e la rete di ransomware Play, secondo quanto riportato da Palo Alto Networks Unit 42.

Andariel e Jumpy Pisces

Andariel, un altro nome per Jumpy Pisces, è attivo dal 2009 e affiliato al Bureau di Ricognizione Generale della Corea del Nord. Questo gruppo è noto per aver utilizzato in passato altre famiglie di ransomware come SHATTEREDGLASS e Maui. Recentemente, Symantec ha rilevato che Jumpy Pisces ha preso di mira tre organizzazioni negli Stati Uniti, probabilmente per fini finanziari, sebbene non sia stato utilizzato ransomware nelle loro reti.

Il ransomware Play

Il ransomware Play, noto anche come Balloonfly e PlayCrypt, ha colpito circa 300 organizzazioni a partire da ottobre 2023. Sebbene inizialmente si pensasse che Play operasse come ransomware-as-a-service (RaaS), i suoi operatori hanno dichiarato il contrario sul loro sito di leak nel dark web. Nell'attacco analizzato, Andariel ha ottenuto accesso iniziale tramite un account utente compromesso, proseguendo con attività di movimento laterale e persistenza usando strumenti come il framework Sliver e un backdoor personalizzato chiamato Dtrack.

Attività pre-ransomware

Le attività pre-ransomware includevano il harvesting di credenziali, l'escalation dei privilegi e la disinstallazione dei sensori di rilevazione e risposta degli endpoint (EDR). È stato utilizzato anche un binario trojanizzato per raccogliere cronologia del browser, informazioni di auto-compilazione e dati delle carte di credito da Google Chrome, Microsoft Edge e Brave. La connessione tra Andariel e Play è stata confermata dalla comunicazione continua con il server C2 Sliver fino al giorno prima del dispiegamento del ransomware. L'indirizzo IP del server C2 è andato offline subito dopo l'attacco.

Incognite sulla collaborazione

Resta incerto se Jumpy Pisces sia diventato un affiliato ufficiale di Play o se abbia agito come broker di accesso iniziale (IAB) vendendo l'accesso alla rete agli attori di Play. Se Play non fornisce un ecosistema RaaS come dichiarato, Jumpy Pisces potrebbe aver agito solo come IAB. Questo caso sottolinea la crescente complessità e interconnessione nel panorama delle minacce informatiche, con gruppi sponsorizzati dallo stato che collaborano con reti di cybercriminalità per massimizzare i loro profitti illeciti.