Кампанія з викупним програмним забезпеченням, спрямована на фінансову інфраструктуру Південної Кореї: російські та північнокорейські загрозливі актори за витоком даних обсягом 2ТБ

Безпековий ландшафт у Південній Кореї різко погіршився, оскільки скоординовані кіберзлочинці у співпраці з державними акторами розгорнули безпрецедентну хвилю атак на фінансовий сектор країни. Між вереснем і жовтнем 2024 року понад 40 фінансових та банківських організацій стали жертвами того, що дослідники безпеки тепер ідентифікують як скоординовану кампанію, організовану Qilin, російською базованою операцією Ransomware-as-a-Service (RaaS), яка працює у тандемі з північнокорейськими кіберакторами, відомими як Moonstone Sleet.

Масштаб атаки: від вразливості ланцюга постачання до масових компрометацій

Звіт про загрози компанії Bitdefender за жовтень 2024 року показав моторошну картину: зловмисники зламали керованих постачальників послуг (MSPs), що обслуговують південнокорейські фінансові установи, використовуючи цю єдину точку входу для поширення шкідливого програмного забезпечення по всій мережі клієнтів. Результат був приголомшливим — 33 окремі інциденти, зафіксовані протягом 2024 року, з яких 25 припадали лише на вересень, що становить у дванадцять разів більше за місячні середні показники.

Операційний масштаб виходив далеко за межі простої вимагання викупу. Зловмисники викрали приблизно 2 ТБ дуже чутливих даних, включаючи документи з військовою розвідкою, економічними прогнозами та кресленнями інфраструктурних об’єктів для критичних проектів, таких як LNG-об’єкти та мостові мережі. За даними аналізу Bitdefender, було викрадено понад 1 мільйон файлів у трьох окремих хвилях, причому зловмисники навмисно подавали свою діяльність як антикорупційну кампанію, щоб виправдати публічне розкриття даних.

Модель роботи Qilin та геополітичні наслідки

Qilin працює за моделлю Ransomware-as-a-Service, передаючи атаки афілійованим операторам, зберігаючи централізований контроль над інфраструктурою та стратегією вимагання. Російське походження групи добре задокументоване: засновники працюють у російськомовних кіберфорумів, і організація явно уникає цілеспрямованих атак на країни Співдружності Незалежних Держав — ознака державної підтримки злочинної інфраструктури.

Що відрізняє цю кампанію, так це участь північнокорейських акторів. Участь Moonstone Sleet свідчить про розвідувальну місію, яка лежить під прибутковим мотивом звичайних операцій Ransomware. За даними розвідки, викрадені дані готувалися для керівництва Північної Кореї, що свідчить про геополітичний шпигунство понад просте фінансове вимагання.

Хронологія: як розплутувався фінансовий сектор Кореї

Фаза перша (14 вересня 2024): Початкова хвиля зломів виявила чутливі записи десяти фінансових компаній, викликавши негайні попередження у спільноті безпеки.

Фаза друга (17-19 вересня 2024): Другий витік даних додав 18 нових жертв до сайту витоку, зловмисники погрожували зірвати фондовий ринок Південної Кореї через скоординовані публікації даних.

Фаза третя (28 вересня — 4 жовтня 2024): Останній етап опублікував решту даних. Чотири пости згодом були видалені з сайту витоку — ймовірно, через отримання викупу від цільових організацій.

Важливий інцидент показав масштаб атаки: понад 20 менеджерів активів були зламані через один злом ланцюга постачання у сервіс-провайдера GJTec, про що повідомила корейська медіа-організація JoongAng Daily 23 вересня 2024 року.

Глобальний контекст: нестабільне становище Південної Кореї

Порівняльний аналіз Bitdefender оцінив Південну Корею як другу за рівнем у світі за кількістю атак з використанням ransomware у 2024 році, поступаючись лише Сполученим Штатам. Це відображає як високий рівень майстерності зловмисників, так і вразливості у кіберінфраструктурі країни — зокрема залежність від централізованих MSP-провайдерів для управління ІТ у фінансових мережах.

До жовтня 2024 року Qilin сама по собі зафіксувала понад 180 жертв по всьому світу, що становить приблизно 29% усіх глобальних інцидентів з ransomware, згідно з оцінками розвідки NCC Group.

Наслідки для крипто- та фінтех-екосистем

Злом створює безпосередні ризики для криптовалютних бірж і фінтех-платформ, що працюють у південнокорейських ринках або торгують з ними. Вкрадені фінансові дані можуть бути використані для соціальної інженерії, підбору облікових даних або цілеспрямованих атак ransomware на криптоінфраструктуру. Крім того, дестабілізація традиційних фінансових установ підриває довіру до загальної фінансової екосистеми, що може спричинити відтік капіталу до цифрових активів або навпаки.

Захисні заходи: що мають негайно впровадити південнокорейські інституції

Дослідники безпеки рекомендують багаторівневу стратегію захисту:

Зміцнення ланцюга постачання: Впроваджуйте суворі протоколи перевірки всіх керованих постачальників послуг, включаючи тестування проникнення та архітектуру нульової довіри, що обмежує латеральний рух навіть у разі компрометації MSP.

Контроль доступу: Використовуйте багатофакторну автентифікацію для всіх фінансових систем і сегментуйте мережі для обмеження поширення зломів. Якби південнокорейські інституції впровадили детальне сегментування мережі, обсяг викрадених 2 ТБ даних міг би бути значно зменшений.

Моніторинг загроз: Встановіть цілодобовий моніторинг за індикаторами, пов’язаними з Qilin і державними спонсорами, включаючи поведінкові аномалії, характерні для операцій RaaS.

Навчання співробітників: Постійно проводьте програми підвищення обізнаності щодо фішингу, оскільки початковий доступ часто базується на соціальній інженерії, спрямованій на співробітників довірених сервіс-провайдерів.

Висновок: тривожний дзвінок для фінансових інституцій у всьому світі

Кампанія з ransomware у Південній Кореї демонструє, що державні актори та кіберзлочинці тепер працюють у скоординованих екосистемах, розмиваючи традиційні межі загроз. Для учасників крипто- та фінтех-індустрії ця подія підкреслює критичну вразливість: фінансова інфраструктура, на яку покладаються цифрові ринки, залишається відкритою для високоресурсних і добре підготовлених супротивників. Інституції мають пріоритетно зосередитися на безпеці ланцюга постачання, впроваджувати стратегії захисту з багатьма шарами та готувати протоколи реагування на інциденти до наступної хвилі атаки. Можливість проактивного захисту звужується, оскільки Qilin і його державні партнери продовжують свою діяльність у 2025 році.