Miles de computadoras industriales en todo el mundo se vieron afectadas por una campaña de spyware. 1,6 por ciento de las computadoras ICS afectadas en Alemania. El malware utilizado muestra similitudes con Lazarus.
Desde mediados de enero hasta mediados de noviembre de 2021, los expertos de Kaspersky observaron un nuevo malware que infectó más de 35.000 195 computadoras en XNUMX países. El malware 'PseudoManuscrypt' muestra similitudes con el malware 'Manuscrypt' del grupo Lazarus de Advanced Persistent Threat (APT). Tiene capacidades avanzadas de espionaje y hasta ahora se ha detectado en ataques a organizaciones gubernamentales y sistemas de control industrial (ICS).
35.000 ordenadores ICS afectados
Las empresas industriales se encuentran entre los objetivos más buscados por los ciberdelincuentes, tanto por razones financieras como porque tienen mucha información que ofrecer. Este año, grupos APT como Lazarus y APT41 mostraron un gran interés en las empresas industriales. Al investigar una serie de ataques, los expertos de Kaspersky encontraron una nueva pieza de malware que tiene algunas similitudes con el malware Manuscrypt de Lazarus, utilizado como parte de la campaña ThreatNeedle de ese grupo contra la industria de defensa. Por lo tanto, el nombre PseudoManuscrypt se basa en la similitud de las dos campañas.
Infección con PseudoManuscrypt
PseudoManuscrypt se descarga primero en los sistemas de los objetivos a través de archivos de instalación de software pirata falsos, algunos de los cuales están diseñados para software pirateado específico de ICS. Podría decirse que estos instaladores falsos se ofrecen a través de una plataforma Malware-as-a-Service (MaaS), sin embargo, en algunos casos, PseudoManuscrypt también se ha instalado a través de la notoria botnet Glupteba. Después de la infección inicial, sigue una cadena de infección complicada, a través de la cual probablemente se descarga el módulo principal malicioso.
Los expertos de Kaspersky pudieron identificar dos variantes de este módulo, las cuales tienen capacidades avanzadas de software espía, incluido el registro de pulsaciones de teclas, la copia de datos del portapapeles, el robo de datos de conexión y autenticación VPN (y posiblemente RDP), así como la copia de capturas de pantalla.
Industria atacada por piratas informáticos y grupos APT
Los productos de Kaspersky bloquearon PseudoManuscrypt entre el 20 de enero y el 10 de noviembre de 2021 en más de 35.000 195 computadoras en 7,2 países. Muchos de los objetivos eran organizaciones industriales y gubernamentales, incluidas empresas militares industriales y laboratorios de investigación. El 1,6 por ciento de las computadoras atacadas formaban parte de sistemas de control industrial (ICS), siendo las industrias de ingeniería y automatización de edificios las más afectadas. El 2,2 por ciento de las computadoras ICS comprometidas y el 3 por ciento de las otras computadoras afectadas estaban en Alemania. Los ataques no muestran preferencias de la industria, pero la gran cantidad de computadoras técnicas afectadas, incluidos los sistemas utilizados para el modelado físico y XNUMXD y los gemelos digitales, sugieren que el espionaje industrial podría ser un objetivo.
Lo extraño es que algunas de las computadoras ICS afectadas tienen vínculos con las víctimas de la campaña de Lazarus previamente informadas por ICS CERT de Kaspersky. Los datos se envían al servidor de los atacantes a través de un protocolo raro que utiliza una biblioteca que anteriormente solo usaba el malware APT41. Sin embargo, dada la gran cantidad de víctimas y la falta de un enfoque claro, Kaspersky no asocia la campaña con Lazarus ni con ningún otro actor de amenazas APT conocido.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/