Un nuovo collegamento tra il gruppo di hacker nordcoreani noto come Andariel e l'operazione ransomware Play è stato scoperto, suscitando preoccupazioni per il coinvolgimento del governo nordcoreano in attacchi informatici globali tramite modelli di Ransomware-as-a-Service (RaaS). Secondo una ricerca di Palo Alto Networks e del suo team Unit 42, Andariel potrebbe essere un affiliato di Play o agire come initial access broker (IAB), ovvero vendendo l'accesso a reti compromesse, facilitando così l'infiltrazione di Play.
Andariel è un gruppo di hacker sponsorizzato dallo Stato, associato all'Agenzia Generale di Ricognizione, l'intelligence militare nordcoreana. Già sanzionato dagli Stati Uniti nel 2019 insieme ad altri gruppi nordcoreani come Lazarus e Bluenoroff per attacchi contro interessi statunitensi, Andariel ha condotto operazioni di spionaggio cibernetico e raccolta di fondi per il governo nordcoreano.
In passato, si è collegato a ransomware come Maui, utilizzato nel 2022 per attaccare infrastrutture critiche in diversi Paesi, tra cui Giappone, Russia, Vietnam e India. Gli Stati Uniti hanno successivamente offerto una ricompensa per informazioni su Rim Jong Hyok, membro di Andariel, responsabile degli attacchi con Maui.
I dettagli dell'analisi di Unit 42
L'analisi di Unit 42, relativa a un incidente di settembre 2024, ha rilevato che Andariel aveva violato la rete di una vittima già a maggio, utilizzando un account compromesso per accedere e poi installando strumenti di furto di credenziali come Mimikatz. Successivamente, il gruppo ha impiegato Sliver, una suite di pentesting, per stabilire il comando e controllo e distribuire il malware DTrack, ampliando la loro presenza nella rete.
I ricercatori hanno notato che Andariel ha sfruttato il proprio accesso per disabilitare software di sicurezza e installare servizi dannosi, fino al 5 settembre, quando il ransomware Play è stato attivato per criptare i dispositivi della rete.
Sebbene non sia certo se Andariel agisca come affiliato o come broker di accesso, questa modalità consente al gruppo di aggirare le sanzioni internazionali. Altri gruppi, come Evil Corp in Russia, hanno adottato strategie simili per evitare restrizioni, talvolta riadattando il proprio ransomware per continuare a operare sul mercato. Anche hacker iraniani sanzionati hanno sfruttato tattiche simili, agendo come broker di accesso per attacchi ransomware.