Milhares de computadores industriais em todo o mundo foram afetados por uma campanha de spyware. 1,6% dos computadores ICS afetados na Alemanha. O malware usado mostra semelhanças com o Lazarus.
De meados de janeiro a meados de novembro de 2021, os especialistas da Kaspersky observaram um novo malware que infectou mais de 35.000 computadores em 195 países. O malware 'PseudoManuscrypt' mostra semelhanças com o malware 'Manuscrypt' do grupo Lazarus de Ameaça Persistente Avançada (APT). Ele possui recursos avançados de espionagem e até agora foi detectado em ataques a organizações governamentais e sistemas de controle industrial (ICS).
35.000 computadores ICS afetados
As empresas industriais estão entre os alvos mais procurados pelos cibercriminosos - tanto por questões financeiras quanto por terem muitas informações a oferecer. Este ano, grupos APT como Lazarus e APT41 mostraram grande interesse em empresas industriais. Investigando uma série de ataques, os especialistas da Kaspersky encontraram um novo malware que tem algumas semelhanças com o malware Manuscrypt da Lazarus, usado como parte da campanha ThreatNeedle desse grupo contra a indústria de defesa. O nome PseudoManuscrypt é, portanto, baseado na semelhança das duas campanhas.
Infecção com PseudoManuscrypt
O PseudoManuscrypt é baixado primeiro nos sistemas dos alvos por meio de arquivos falsos de instalação de software pirata, alguns dos quais são projetados para software pirata específico do ICS. Esses instaladores falsos são indiscutivelmente oferecidos por meio de uma plataforma Malware-as-a-Service (MaaS), no entanto, em alguns casos, o PseudoManuscrypt também foi instalado por meio do notório botnet Glupteba. Após a infecção inicial, segue-se uma cadeia de infecção complicada, através da qual o módulo principal malicioso é provavelmente baixado.
Os especialistas da Kaspersky conseguiram identificar duas variantes deste módulo, ambas com recursos avançados de spyware – incluindo registro de pressionamentos de tecla, cópia de dados da área de transferência, roubo de autenticação VPN (e possivelmente RDP) e dados de conexão, bem como cópia de capturas de tela.
Indústria visada por hackers e grupos APT
Os produtos da Kaspersky bloquearam o PseudoManuscrypt entre 20 de janeiro e 10 de novembro de 2021 em mais de 35.000 computadores em 195 países. Muitos dos alvos eram organizações industriais e governamentais, incluindo empresas industriais militares e laboratórios de pesquisa. 7,2% dos computadores atacados faziam parte de sistemas de controle industrial (ICS), sendo os setores de engenharia e automação predial os mais atingidos. 1,6% dos computadores ICS comprometidos e 2,2% dos outros computadores afetados estavam na Alemanha. Os ataques não mostram preferência da indústria, mas o grande número de computadores técnicos afetados, incluindo sistemas usados para 3D e modelagem física e gêmeos digitais, sugere que a espionagem industrial pode ser um alvo.
O que é estranho é que alguns dos computadores ICS afetados têm ligações com as vítimas da campanha Lazarus relatadas anteriormente pelo ICS CERT da Kaspersky. Os dados são enviados ao servidor dos invasores por meio de um protocolo raro que usa uma biblioteca anteriormente usada apenas pelo malware APT41. No entanto, devido ao grande número de vítimas e à falta de um foco claro, a Kaspersky não associa a campanha ao Lazarus ou a qualquer outro agente de ameaça APT conhecido.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/