Kaspersky Lab detectó el malware PseudoManuscrypt que ataca a las organizaciones industriales

Helga Smithdiciembre 17, 2021Última actualización: diciembre 17, 2021
104 1 minuto de lectura

Los expertos de Kaspersky ICS CERT detectaron el ApodoManuscrypt el malware, que atacó a más de 35,000 computadoras en 195 países entre enero 20 y noviembre 10, 2021. La lista de objetos atacados incluye un número significativo de organizaciones industriales y gubernamentales., incluidas las empresas del complejo militar-industrial y los laboratorios de investigación.

Los investigadores dicen que al menos 7.2% de computadoras atacadas por ApodoManuscrypt forman parte de los sistemas de automatización industrial (ICS) en organizaciones de diversas industrias.

El malware se denominó PseudoManuscrypt porque su cargador es similar al Manuscrypt cargador de malware, que forma parte del arsenal de la Lázaro hackear grupo.

Manuscrypt

El descargador de PseudoManuscrypt ingresa al sistema a través del Malware como servicio (MaaS) plataforma, que distribuye instaladores maliciosos bajo la apariencia de software pirateado. En algunos casos, esto sucedió a través del Estúpido botnet (cuyo instalador principal también se distribuye bajo la apariencia de software pirateado).

Búsqueda de Google

Según los expertos, el principal módulo malicioso PseudoManuscrypt tiene muchas funciones de espionaje, incluido el robo de datos de conexión VPN, registro de pulsaciones de teclas, tomar capturas de pantalla y grabaciones de videos en pantalla, grabar sonido desde un micrófono, robar datos del portapapeles y del registro de eventos de la sala de operaciones. sistemas (que también permite robar datos sobre conexiones RDP).

Entre las computadoras que fueron atacadas hay muchas máquinas de ingeniería., incluyendo sistemas de modelado físico y 3D para el desarrollo y uso de gemelos digitales. Esto permitió a los expertos asumir que uno de los posibles objetivos de la campaña es el espionaje industrial..

También hay dos hechos en el informe de la empresa.. primero, el descargador de PseudoManuscrypt comparte similitudes con el descargador de malware Manuscrypt utilizado por Lazarus en su 2020 ataques contra empresas de defensa en varios países. Segundo, para transferir datos robados a los atacantes’ servidor, PseudoManuscrypt utiliza una implementación del raro protocolo KCP, que anteriormente solo se veía en el malware utilizado por APT41.

sin embargo, la falta de un enfoque obvio en la distribución de un gran número de víctimas, que no es característico de las campañas cibernéticas dirigidas, no permite vincular inequívocamente esta campaña con Lazarus o cualquier otro APT.

Esta es una campaña muy inusual y todavía estamos analizando la información disponible.. sin embargo, un hecho es claro: esta es una amenaza a la que los profesionales deben prestar atención. Afectó a decenas de miles de computadoras y pudo extenderse a miles de computadoras ICS., comprometiendo a muchas organizaciones industriales de todo el mundo. Continuaremos nuestra investigación y mantendremos actualizada a la comunidad de ciberseguridad..comentarios Vyacheslav Kopeytsev, un experto en seguridad industrial en Kaspersky Lab.

Permítame recordarle que también hablamos sobre el hecho de que Los investigadores descubrieron ALPHV ransomware escrito en Rust.

Etiquetas
Helga Smithdiciembre 17, 2021Última actualización: diciembre 17, 2021
104 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba