Campanha de ransomware direcionada à infraestrutura financeira da Coreia do Sul: atores de ameaça russos e norte-coreanos por trás de violação de dados de 2TB

O panorama de segurança na Coreia do Sul deteriorou-se drasticamente à medida que criminosos cibernéticos coordenados, alinhados com atores de nível estatal, lançaram uma onda de ataques sem precedentes contra o setor financeiro do país. Entre setembro e outubro de 2024, mais de 40 entidades financeiras e bancárias foram vítimas do que os investigadores de segurança agora identificam como uma campanha coordenada orquestrada pela Qilin, uma operação de ransomware como serviço (RaaS) com base na Rússia, trabalhando em conjunto com atores cibernéticos norte-coreanos conhecidos como Moonstone Sleet.

A Escala do Ataque: De Vulnerabilidades na Cadeia de Suprimentos a Comprometimento em Massa

O Relatório de Ameaças de outubro de 2024 da empresa de cibersegurança Bitdefender revelou um quadro assustador: atacantes comprometeram provedores de serviços gerenciados (MSPs) que atendem instituições financeiras sul-coreanas, usando esse único ponto de entrada para proliferar malware por toda a rede de clientes. O resultado foi impressionante—33 incidentes distintos rastreados ao longo de 2024, com 25 concentrados em setembro, representando um aumento de doze vezes em relação às médias mensais.

O alcance operacional foi muito além de simples extorsão. Os atores de ameaça exfiltraram aproximadamente 2TB de dados altamente sensíveis, incluindo documentos contendo inteligência militar, previsões econômicas e plantas de infraestrutura para projetos críticos como instalações de GNL e redes de pontes. Segundo a análise da Bitdefender, mais de 1 milhão de ficheiros foram roubados em três ondas distintas, com os atacantes deliberadamente enquadrando suas atividades como cruzadas contra a corrupção para justificar vazamentos públicos de dados.

Modelo de Operação da Qilin e Implicações Geopolíticas

A Qilin opera sob um modelo de Ransomware como Serviço, terceirizando ataques para operadores afiliados enquanto mantém controle centralizado sobre a infraestrutura e a estratégia de extorsão. As origens russas do grupo são bem documentadas: membros fundadores atuam em fóruns cibernéticos de língua russa, e a organização evita explicitamente atacar entidades da Comunidade de Estados Independentes — uma marca de infraestrutura criminosa alinhada ao estado.

O que distingue essa campanha é a participação de atores norte-coreanos. A participação de Moonstone Sleet indica uma missão de coleta de inteligência por trás do motivo de lucro das operações convencionais de ransomware. A inteligência sugere que os dados roubados estavam sendo preparados para a liderança norte-coreana, indicando espionagem geopolítica além da simples extorsão financeira.

Linha do Tempo: Como o Setor Financeiro Coreano se Desfez

Fase Um (14 de setembro de 2024): A onda inicial de brechas expôs registros sensíveis de dez empresas de gestão financeira, acionando alertas imediatos na comunidade de segurança.

Fase Dois (17-19 de setembro de 2024): Uma segunda divulgação de dados adicionou 18 vítimas adicionais ao site de vazamentos, com os atacantes emitindo ameaças de perturbar o mercado de ações sul-coreano por meio de liberações coordenadas de dados.

Fase Três (28 de setembro a 4 de outubro de 2024): A última parcela liberou os dados restantes. Quatro postagens foram posteriormente removidas do site de vazamentos—provavelmente indicando pagamentos de resgate realizados pelas entidades alvo.

Um incidente notável revelou o alcance do ataque: mais de 20 gestores de ativos foram comprometidos por meio de uma única brecha na cadeia de suprimentos na provedora de serviços GJTec, conforme relatado pelo meio de comunicação sul-coreano JoongAng Daily em 23 de setembro de 2024.

O Contexto Global: A Posição Precariosa da Coreia do Sul

A análise comparativa da Bitdefender classificou a Coreia do Sul como o segundo país mais afetado por ransomware globalmente em 2024, ficando atrás apenas dos Estados Unidos. Essa distinção reflete tanto a sofisticação dos atacantes quanto as vulnerabilidades na infraestrutura de cibersegurança sul-coreana—particularmente a dependência de provedores MSP centralizados para a gestão de TI em redes financeiras.

Até outubro de 2024, a Qilin sozinha reivindicou mais de 180 vítimas em todo o mundo, representando aproximadamente 29% de todos os incidentes globais de ransomware, de acordo com as avaliações de inteligência de ameaças do NCC Group.

Implicações para os Ecossistemas de Cripto e Fintech

A violação representa riscos diretos para bolsas de criptomoedas e plataformas fintech que operam ou negociam com mercados sul-coreanos. Dados financeiros roubados podem facilitar ataques de engenharia social, tentativa de roubo de credenciais ou ransomware direcionado à infraestrutura de cripto. Além disso, a desestabilização de instituições financeiras tradicionais mina a confiança no ecossistema financeiro como um todo, potencialmente provocando fuga de capitais para dentro ou fora dos ativos digitais.

Medidas de Defesa: O que as Instituições Sul-Coreanas Devem Implementar Agora

Pesquisadores de segurança recomendam uma estratégia de defesa em múltiplas camadas:

Fortalecimento da Cadeia de Suprimentos: Implementar protocolos rigorosos de avaliação para todos os provedores de serviços gerenciados, incluindo testes de penetração e arquiteturas de rede de confiança zero que restrinjam movimentos laterais mesmo se um MSP for comprometido.

Controle de Acesso: Implantar autenticação multifator em todos os sistemas financeiros e segmentar redes para conter violações. Se as instituições sul-coreanas tivessem implementado segmentação granular de rede, a exfiltração de 2TB de dados poderia ter sido drasticamente reduzida.

Monitoramento de Ameaças: Estabelecer monitoramento 24/7 para indicadores associados à Qilin e atores patrocinados pelo estado, incluindo anomalias comportamentais típicas de operações RaaS.

Treinamento de Funcionários: Conduzir programas contínuos de conscientização de segurança focados na prevenção de phishing, já que o acesso inicial muitas vezes depende de engenharia social direcionada a funcionários de provedores de serviços confiáveis.

Conclusão: Um Despertar para Instituições Financeiras Globalmente

A campanha de ransomware na Coreia do Sul demonstra que atores estatais e criminosos cibernéticos agora operam em ecossistemas coordenados, borrando as fronteiras tradicionais de ameaça. Para os stakeholders de criptomoedas e fintech, esse incidente reforça uma vulnerabilidade crítica: a infraestrutura financeira na qual os mercados digitais dependem permanece exposta a adversários sofisticados e bem financiados. As instituições devem priorizar a segurança da cadeia de suprimentos, implementar estratégias de defesa em profundidade e preparar protocolos de resposta a incidentes antes que a próxima onda aconteça. A janela para uma defesa proativa está se fechando à medida que a Qilin e seus parceiros alinhados ao estado continuam suas operações em 2025.