Kaspersky Lab ha rilevato il malware PseudoManuscrypt che attacca le organizzazioni industriali

Helga Smithdicembre 17, 2021Ultimo aggiornamento: dicembre 17, 2021
104 1 lettura minuto

Gli esperti di Kaspersky ICS CERT hanno rilevato il SoprannomeManuscrypt il malware, che ha attaccato più di 35,000 computer in 195 paesi tra gennaio 20 e novembre 10, 2021. L'elenco degli oggetti attaccati include un numero significativo di organizzazioni industriali e governative, comprese le imprese del complesso militare-industriale e laboratori di ricerca.

I ricercatori dicono che almeno 7.2% di computer attaccati da SoprannomeManuscrypt fanno parte dei sistemi di automazione industriale (ICS) in organizzazioni di vari settori.

Il malware è stato chiamato PseudoManuscrypt perché il suo caricatore è simile al Manuscrypt caricatore di malware, che fa parte dell'arsenale del Lazzaro gruppo hacker.

Manuscrypt

Il downloader PseudoManuscrypt entra nel sistema attraverso il Malware-as-a-Service (MaaS) piattaforma, che distribuisce programmi di installazione dannosi con il pretesto di software piratato. In alcuni casi, questo è successo attraverso il Stupido botnet (il cui programma di installazione principale è distribuito anche sotto forma di software piratato).

Google Trova

Secondo gli esperti, il modulo dannoso principale PseudoManuscrypt ha molte funzioni spia, incluso il furto dei dati di connessione VPN, registrazione delle sequenze di tasti, acquisizione di schermate e registrazioni di video su schermo, registrazione del suono da un microfono, rubare dati dagli appunti e dai dati del registro eventi della sala operatoria. sistemi (che consente anche di rubare dati sulle connessioni RDP).

Tra i computer che sono stati attaccati ci sono molte macchine ingegneristiche, compresi i sistemi di modellazione fisica e 3D per lo sviluppo e l'uso di gemelli digitali. Ciò ha permesso agli esperti di presumere che uno dei possibili obiettivi della campagna sia lo spionaggio industriale.

Ci sono anche due fatti nel rapporto dell'azienda. Primo, il downloader PseudoManuscrypt condivide somiglianze con il downloader malware Manuscrypt utilizzato da Lazarus nel suo 2020 attacchi contro società di difesa in vari paesi. Secondo, trasferire i dati rubati agli aggressori’ server, PseudoManuscrypt utilizza un'implementazione del raro protocollo KCP, che in precedenza era visto solo nel malware utilizzato da APT41.

però, la mancanza di un focus evidente nella distribuzione di un gran numero di vittime, che non è caratteristico delle campagne informatiche mirate, non consente il collegamento inequivocabile di questa campagna con Lazarus o qualsiasi altro APT.

Questa è una campagna molto insolita e stiamo ancora analizzando le informazioni disponibili. però, un fatto è chiaro: questa è una minaccia a cui i professionisti devono prestare attenzione. Ha colpito decine di migliaia di computer ed è stato in grado di diffondersi a migliaia di computer ICS, compromettendo molte organizzazioni industriali in tutto il mondo. Continueremo la nostra ricerca e manterremo aggiornata la comunità della sicurezza informatica.Commenti Vyacheslav Kopeytsev, un esperto di sicurezza industriale presso Kaspersky Lab.

Vi ricordo che abbiamo parlato anche del fatto che I ricercatori hanno scoperto ALPHV ransomware scritto in Rust.

tag
Helga Smithdicembre 17, 2021Ultimo aggiornamento: dicembre 17, 2021
104 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto