Migliaia di computer industriali in tutto il mondo sono stati colpiti da una campagna spyware. 1,6% dei computer ICS interessati in Germania. Il malware utilizzato mostra somiglianze con Lazarus.
Da metà gennaio a metà novembre 2021, gli esperti di Kaspersky hanno osservato nuovi malware che hanno infettato più di 35.000 computer in 195 paesi. Il malware "PseudoManuscrypt" mostra somiglianze con il malware "Manuscrypt" del gruppo Lazarus di Advanced Persistent Threat (APT). Ha avanzate capacità di spionaggio e finora è stato rilevato in attacchi a organizzazioni governative e sistemi di controllo industriale (ICS).
35.000 computer ICS interessati
Le aziende industriali sono tra gli obiettivi più ambiti dai criminali informatici, sia per motivi finanziari sia perché hanno molte informazioni da offrire. Quest'anno, gruppi APT come Lazarus e APT41 hanno mostrato un vivo interesse per le aziende industriali. Indagando su una serie di attacchi, gli esperti di Kaspersky hanno scoperto un nuovo malware che presenta alcune somiglianze con il malware Manuscrypt di Lazarus, utilizzato come parte della campagna ThreatNeedle di quel gruppo contro l'industria della difesa. Il nome PseudoManuscrypt si basa quindi sulla somiglianza delle due campagne.
Infezione da PseudoManuscrypt
PseudoManuscrypt viene prima scaricato sui sistemi degli obiettivi tramite falsi archivi di installazione di software piratato, alcuni dei quali sono progettati per software piratato specifico di ICS. Questi falsi programmi di installazione sono probabilmente offerti tramite una piattaforma Malware-as-a-Service (MaaS), tuttavia, in alcuni casi, PseudoManuscrypt è stato installato anche tramite la famigerata botnet Glupteba. Dopo l'infezione iniziale, segue una complicata catena di infezione, attraverso la quale viene probabilmente scaricato il modulo principale dannoso.
Gli esperti di Kaspersky sono stati in grado di identificare due varianti di questo modulo, entrambe dotate di funzionalità spyware avanzate, tra cui la registrazione di sequenze di tasti, la copia di dati dagli appunti, il furto di autenticazione VPN (e possibilmente RDP) e dati di connessione, nonché la copia di schermate.
Settore preso di mira da hacker e gruppi APT
I prodotti Kaspersky hanno bloccato PseudoManuscrypt tra il 20 gennaio e il 10 novembre 2021 su oltre 35.000 computer in 195 paesi. Molti degli obiettivi erano organizzazioni industriali e governative, comprese aziende militari-industriali e laboratori di ricerca. Il 7,2% dei computer attaccati faceva parte di sistemi di controllo industriale (ICS), con i settori dell'ingegneria e dell'automazione degli edifici i più colpiti. L'1,6% dei computer ICS compromessi e il 2,2% degli altri computer interessati si trovavano in Germania. Gli attacchi non mostrano alcuna preferenza di settore, ma il gran numero di computer tecnici colpiti, inclusi i sistemi utilizzati per la modellazione 3D e fisica e i gemelli digitali, suggeriscono che lo spionaggio industriale potrebbe essere un obiettivo.
Ciò che è strano è che alcuni dei computer ICS interessati hanno legami con le vittime della campagna Lazarus precedentemente segnalate dall'ICS CERT di Kaspersky. I dati vengono inviati al server degli aggressori tramite un raro protocollo che utilizza una libreria precedentemente utilizzata solo dal malware APT41. Tuttavia, dato l'elevato numero di vittime e la mancanza di un obiettivo chiaro, Kaspersky non associa la campagna a Lazarus o ad altri noti autori di minacce APT.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/