Il gruppo di hacker nordcoreani BeagleBoyz ha ripreso a rapinare banche tramite accesso remoto da febbraio 2020 per finanziare il regime nordcoreano
Gli hacker nordcoreani noti come BeagleBoyz stanno utilizzando strumenti di accesso remoto dannosi per rubare milioni da banche internazionali, secondo un rapporto pubblicato oggi da diverse agenzie governative statunitensi.
Il rapporto afferma che il gruppo di hacker nordcoreano BeagleBoyz ha nuovamente iniziato a rapinare banche tramite accesso remoto dal febbraio 2020 per finanziare il regime nordcoreano.
Gli hacker rubano denaro utilizzando il bug del bancomat Santander
Il bug ha consentito agli aggressori di utilizzare carte di debito false per prelevare più fondi dagli sportelli automatici di quanti ne fossero sul saldo.
I BeatleBoys stanno attualmente attaccando banche in oltre 30 paesi in tutto il mondo come parte di un piano di rapina in banca in corso nel tentativo di rubare 2 miliardi di dollari, ha twittato il Cyber Command statunitense.
Paesi attaccati dal gruppo
“Da febbraio 2020, la Corea del Nord ha ripreso il lavoro mirato con le banche di molti paesi per avviare trasferimenti internazionali di denaro fraudolenti e prelievi di contanti dagli sportelli automatici. La recente ripresa segue una pausa nel targeting bancario dalla fine del 2019.
In un attacco agli sportelli automatici, gli hacker di BeagleBoyz sono riusciti a prelevare contanti dagli sportelli automatici gestiti da banche in dozzine di paesi, inclusi gli Stati Uniti.
Ad esempio, nel 2016 sono riusciti a rubare 81 milioni di dollari dalla Bangladesh Bank. Fortunatamente, la Federal Reserve Bank di New York è riuscita a fermare il tentativo di trasferimento da 1 miliardo di dollari dopo aver rilevato anomalie nelle istruzioni di trasferimento ricevute dalla Banca del Bangladesh.
Gli hacker hanno mostrato come costringere i bancomat popolari a emettere denaro e dati dei clienti
I ricercatori hanno introdotto due nuove vulnerabilità zero-day nei bancomat più diffusi che consentono loro di ottenere i dati dei clienti bancari, oltre a far sì che il bancomat "sputi soldi".
I BeagleBoyz fanno parte del General Intelligence Bureau del governo nordcoreano e sono attivi almeno dal 2014, rubando centinaia di milioni dalle banche per finanziare il regime del paese.
BeagleBoyz si sovrappone ad altri gruppi monitorati da società di sicurezza informatica, tra cui APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) e Stardust Chollima (CrowdStrike).
Schema dell’attacco BeagleBoyz
BeagleBoyz utilizza una varietà di strumenti e metodi per ottenere l’accesso alla rete di un istituto finanziario, studiare la topologia per scoprire i sistemi chiave e monetizzare il loro accesso. L’analisi tecnica di cui sopra è una fusione di molti incidenti noti, non i dettagli di una singola operazione", hanno affermato le agenzie.
I nordcoreani sono stati osservati utilizzando un’ampia gamma di metodi per ottenere l’accesso ai sistemi delle vittime, comprese varie forme di phishing e ingegneria sociale, dal 2018 all’inizio del 2020.
Potrebbero anche aver utilizzato i servizi di gruppi di hacking criminali come TA505 per ottenere inizialmente l’accesso a istituti finanziari presi di mira e, diversi mesi dopo, in alcuni casi, hanno effettuato un attacco finale ai sistemi bancari delle vittime.
"Oltre a derubare le istituzioni finanziarie tradizionali, BeagleBoyz ha preso di mira gli scambi di criptovalute per rubare grandi quantità di criptovalute, a volte valutate centinaia di milioni di dollari in un singolo incidente", ha concluso l’advisory.