Trabalhadores de tecnologia da informação (TI) da Coreia do Norte que conseguem empregos em empresas ocidentais utilizando identidades falsas estão indo além do roubo de propriedade intelectual. Agora, eles estão exigindo pagamentos de resgate para não divulgar os dados roubados, representando uma nova fase em suas atividades cibernéticas com motivação financeira.
Tática de extorsão de trabalhadores de TI norte-coreanos em empresas ocidentais evolui com demandas de resgate
De acordo com uma análise recente da Secureworks Counter Threat Unit (CTU), em alguns casos, esses trabalhadores fraudulentos exigiram resgates de antigos empregadores, após obter acesso privilegiado à rede corporativa. Um exemplo ocorreu em meados de 2024, quando um contratado exfiltrou dados proprietários logo no início de sua função. Esse tipo de ação reflete práticas associadas a um grupo de ameaças conhecido como Nickel Tapestry, também chamado de Famous Chollima ou UNC5267.
Esquema de espionagem cibernética
Essa operação de espionagem cibernética visa impulsionar os interesses estratégicos e financeiros da Coreia do Norte, infiltrando trabalhadores de TI em empresas ocidentais para gerar receita ilegal. Frequentemente, esses indivíduos são enviados para países como China e Rússia, de onde operam como freelancers em busca de oportunidades de trabalho. Em outros casos, eles utilizam identidades roubadas de cidadãos legítimos dos EUA para conseguir emprego.
Além disso, os trabalhadores norte-coreanos recorrem a táticas engenhosas para driblar a segurança das empresas. Por exemplo, eles costumam alterar o endereço de entrega de equipamentos, como laptops corporativos, desviando-os para intermediários conhecidos como “fazendas de laptops”. Esses intermediários instalam software de controle remoto que permite aos agentes norte-coreanos acessarem as redes das empresas de forma discreta.
Há também relatos de contratados que solicitam o uso de seus laptops pessoais, evitando assim o envio de equipamentos da empresa e limitando a quantidade de evidências forenses disponíveis para investigação. A Secureworks observou que esses trabalhadores fraudulentos, em alguns casos, sugerem que as empresas cancelem a entrega de laptops corporativos, uma vez que eles alteram o endereço de destino durante o processo de envio.
Notícias Relacionadas
O aumento das exigências de resgate
Recentemente, as ações desses agentes de ameaça tomaram um novo rumo. Um contratado, cujo emprego foi encerrado devido ao baixo desempenho, enviou e-mails de extorsão para a empresa, anexando arquivos ZIP com evidências de dados roubados. Essa prática eleva o risco para as empresas que, inadvertidamente, contratam trabalhadores de TI norte-coreanos.
Rafe Pilling, diretor de inteligência de ameaças da Secureworks CTU, destacou que essa mudança representa uma ameaça significativa: “Os trabalhadores norte-coreanos não estão mais apenas interessados em um salário; eles buscam ganhos rápidos e maiores, utilizando o roubo de dados e a extorsão de dentro das empresas.”
Medidas de precaução
As organizações são aconselhadas a intensificar suas práticas de recrutamento para prevenir essa ameaça. Isso inclui a realização de verificações de identidade rigorosas, entrevistas por vídeo ou presenciais, e uma maior atenção a comportamentos suspeitos, como o redirecionamento de equipamentos de TI e o uso de ferramentas de acesso remoto não autorizadas. A Secureworks também recomenda a monitorização de comportamentos financeiros incomuns, como a solicitação de que contracheques sejam direcionados a serviços de transferência de dinheiro.
A crescente demanda por resgate demonstra uma evolução nas táticas utilizadas pelo grupo Nickel Tapestry, embora o comportamento anterior à extorsão continue a seguir o padrão dos esquemas anteriores envolvendo trabalhadores norte-coreanos infiltrados.
