A Kaspersky Lab detectou malware PseudoManuscrypt que ataca organizações industriais

Helga Smithdezembro 17, 2021Última Actualização dezembro 17, 2021
104 lido 1 minuto

Os especialistas do Kaspersky ICS CERT detectaram o NicknameManuscrypt malwares, que atacou mais de 35,000 computadores em 195 países entre janeiro 20 e novembro 10, 2021. A lista de objetos atacados inclui um número significativo de organizações industriais e governamentais, incluindo empresas do complexo militar-industrial e laboratórios de pesquisa.

Os pesquisadores dizem que pelo menos 7.2% de computadores atacados por NicknameManuscrypt fazem parte de sistemas de automação industrial (ICS) em organizações de vários setores.

O malware foi denominado PseudoManuscrypt porque seu carregador é semelhante ao Manuscrypt carregador de malware, que faz parte do arsenal do Lázaro hackear grupo.

Manuscrypt

O downloader PseudoManuscrypt entra no sistema através do Malware-as-a-Service (MaaS) plataforma, que distribui instaladores maliciosos sob o disfarce de software pirata. Em alguns casos, isso aconteceu através do Estúpido botnet (o instalador principal do qual também é distribuído sob o pretexto de software pirata).

Google Find

De acordo com os especialistas, o principal módulo malicioso PseudoManuscrypt tem muitas funções de espionagem, incluindo roubo de dados de conexão VPN, registrar as teclas digitadas, fazendo capturas de tela e gravações de vídeos na tela, gravando som de um microfone, roubando dados da área de transferência e dados de registro de eventos da sala de operação. sistemas (o que também possibilita o roubo de dados sobre conexões RDP).

Entre os computadores que foram atacados estão muitas máquinas de engenharia, incluindo sistemas de modelagem física e 3D para o desenvolvimento e uso de gêmeos digitais. Isso permitiu que os especialistas presumissem que um dos possíveis alvos da campanha seria a espionagem industrial.

Existem também dois fatos no relatório da empresa. Primeiro, o downloader PseudoManuscrypt compartilha semelhanças com o downloader de malware Manuscrypt usado pelo Lazarus em seu 2020 ataques contra empresas de defesa em vários países. Segundo, para transferir dados roubados para os invasores’ servidor, PseudoManuscrypt usa uma implementação do raro protocolo KCP, que antes era visto apenas no malware usado por APT41.

Contudo, a falta de um foco óbvio na distribuição de um grande número de vítimas, o que não é característico de campanhas cibernéticas direcionadas, não permite vincular inequivocamente esta campanha com Lazarus ou qualquer outro APT.

Esta é uma campanha bastante inusitada e ainda estamos analisando as informações disponíveis. Contudo, um fato é claro: esta é uma ameaça à qual os profissionais precisam prestar atenção. Afetou dezenas de milhares de computadores e foi capaz de se espalhar para milhares de computadores ICS, comprometendo muitas organizações industriais em todo o mundo. Continuaremos nossa pesquisa e manteremos a comunidade de segurança cibernética atualizada.comentários Vyacheslav Kopeytsev, um especialista em segurança industrial em Kaspersky Lab.

Deixe-me lembrá-lo de que também falamos sobre o fato de Pesquisadores descobriram ALPHV ransomware escrito em Rust.

Tag
Helga Smithdezembro 17, 2021Última Actualização dezembro 17, 2021
104 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo