Ciberataque masivo de hackers rusos y norcoreanos sacude la industria financiera surcoreana

Seúl se enfrenta a una tormenta digital perfecta mientras actores estatales coordinados paralizan sistemas bancarios clave.

La nueva normalidad cibernética

Los principales bancos de Corea del Sur reportan fallos masivos en sistemas de pago y plataformas de trading tras lo que expertos en seguridad describen como un ataque coordinado entre grupos hacker rusos y norcoreanos. Las transacciones se han visto interrumpidas durante horas mientras los equipos de respuesta trabajan contrarreloj.

Patrones de ataque sofisticados

Los analistas de ciberseguridad identificaron firmas digitales que apuntan a grupos respaldados por estados, utilizando técnicas de evasión avanzadas que burlaron múltiples capas de seguridad. Los sistemas de detección tradicionales demostraron ser insuficientes contra estas tácticas híbridas.

Respuesta regulatoria inmediata

La FSA coreana activó protocolos de emergencia, ordenando auditorías de seguridad en todas las instituciones financieras mientras los mercados muestran volatilidad inusual. Los traders de cripto aprovechan la situación—porque nada dice 'oportunidad de inversión' como el colapso sistémico del sistema financiero tradicional.

Las consecuencias continúan desarrollándose mientras las instituciones luchan por restaurar la confianza del mercado en medio de preguntas incómodas sobre la resiliencia digital de una de las economías más tecnológicamente avanzadas del mundo.

Corea del Sur fue blanco de ataques de ransomware Qilin

Según el informe publicado el lunes pasado, Corea del Sur se ha convertido en el segundo país más afectado por ransomware este año, solo por detrás de Estados Unidos. En unos 33 casos, identificó la firma de seguridad de software dent 25 se atribuyeron al grupo de ransomware Qilin y 24 de las entidades comprometidas pertenecían al sector financiero.

“Esta operación combinó las capacidades de un importante grupo de ransomware como servicio (RaaS), Qilin, con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), aprovechando el compromiso del proveedor de servicios administrados (MSP) como vector de acceso inicial”, se lee en el informe.

Víctimas de ransomware en Corea. Fuente: Bitdefender

Qilin es uno de los grupos de ransomware este año, operando bajo un modelo de ransomware como servicio y cobrándose más de 180 víctimas solo en octubre. Según la información de inteligencia de amenazas de NCC Group, esta operación es responsable del 29 % de todos los ataques de ransomware a nivel mundial.

Aunque el nombre del grupo proviene de una criatura mitológica china, Bitdefender cree que Qilin tiene raíces rusas. Su investigación descubrió que uno de sus miembros fundadores, "BianLian", se comunica en ruso e inglés y participa activamente en foros de ciberdelincuencia en ruso. 

El grupo también evita atacar organizaciones en la Comunidad de Estados Independientes dent una regla común entre las operaciones de ransomware con sede en Rusia.

Qilin recluta hackers para llevar a cabo sus ataques, mientras que los operadores principales se llevan una parte de las ganancias ilícitas. El grupo también presume de contar con un equipo interno de periodistas para ayudar a sus afiliados a redactar mensajes y publicaciones de extorsión para su plataforma de filtración de datos.

Según el análisis de Bitdefender sobre la campaña Korean Leaks, los piratas informáticos se hicieron pasar por “activistas” y “patriotas” utilizando un lenguaje político para producir mensajes de estilo propagandístico y atacaron a toda la industria financiera del país. 

En un caso del 20 de agosto, relacionado con una empresa constructora, los atacantes advirtieron que los datos robados tenían "valor de inteligencia militar". El mensaje afirmaba que los planos y dibujos de cientos de proyectos completados, incluyendo puentes y tanques de gas natural licuado, ya eran de acceso público. 

“Ya se está preparando un informe sobre lo encontrado en estos documentos para el camarada Kim Jong-un”, decía una de las discusiones filtradas en los foros de Qilin, insinuando que los piratas informáticos estaban compartiendo información con el del grupo de Corea del Norte .

Qilin roba 2 TB de datos en tres oleadas

Según Bitdefender, la operación Korean Leaks se desarrolló en tres oleadas que resultaron en el robo de más de un millón de archivos y 2 TB de datos de 28 víctimas conocidas. Las publicaciones vinculadas a cuatro entidades adicionales fueron posteriormente eliminadas del sitio de la filtración de datos, lo que podría deberse al pago de rescates o a decisiones internas de los operadores.

La primera ola se publicó el 14 de septiembre e incluyó a 10 víctimas del sector de la gestión financiera. La segunda ola se produjo entre el 17 y el 19 de septiembre, añadiendo nueve casos más, mientras que la tercera se publicó entre el 28 de septiembre y el 4 de octubre, afectando a otras nueve organizaciones. 

“Tenemos datos de docenas de empresas. La filtración de Corea es motivo para retirar dinero de la bolsa del país, porque tenemos un volumen de datos cuya publicación defiduda asestará un duro golpe a todo el mercado coreano. Y defiduda lo haremos”, decía una amenaza de los hackers durante la segunda ola.

Bitdefender dijo que los atacantes enmarcaron la campaña como un esfuerzo por exponer la corrupción, incluyendo amenazas de publicar documentos que podrían ser "evidencia de manipulación del mercado de valores" y nombres de "políticos y empresarios conocidos en Corea".

El 23 de septiembre, la publicación de noticias coreana JoongAng Daily informó que más de 20 empresas de gestión de activos habían sido infectadas con ransomware después de la violación de un proveedor de servicios llamado GJTec.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis .