Detectados dos incidentes relacionados con la investigación de las vacunas
- Endpoint
En octubre, los investigadores de Kaspersky identificaron dos incidentes de APT que tenían como objetivo entidades relacionadas con la investigación del COVID-19: un organismo de un ministerio de sanidad y una empresa farmacéutica. Dichas actividades se pueden atribuir al grupo Lazarus.
|
Recomendados: COVID-19, ¿cuánto y cómo ha influido en las estrategias de TI? Leer Por qué adoptar una infraestructura inteligente en la atención médica Leer |
A medida que continúan la pandemia y las medidas restrictivas en todo el mundo, muchas organizaciones están tratando de acelerar el desarrollo de vacunas por cualquier medio disponible, algo que algunos actores de amenazas están tratando de capitalizar para su propio beneficio. A medida que han seguido rastreando las campañas en curso del grupo Lazarus dirigidas a varias industrias, los expertos de Kaspersky han descubierto que el actor está detrás de dos incidentes APT contra entidades relacionadas con el COVID-19.
El primero fue un ataque contra un organismo de un ministerio de sanidad. Dos servidores Windows de la organización se vieron comprometidos por un software malicioso sofisticado el 27 de octubre. El malware utilizado, llamado "wAgent", presenta el mismo esquema de infección que el grupo de malware Lazarus ha utilizado anteriormente en ataques a empresas de criptomonedas.
El segundo incidente involucró a una empresa farmacéutica que está desarrollando una vacuna para el COVID-19 y también está autorizada para producirla y distribuirla. Según la telemetría de Kaspersky, la compañía fue atacada el 25 de septiembre por el malware "Bookcode", que está conectado a Lazarus, en un ataque a la cadena de suministro a través de una empresa de software de Corea del Sur. Los investigadores de Kaspersky también presenciaron que el grupo Lazarus llevó a cabo suplantación de identidad (spear-phishing) o comprometió estratégicamente sitios web para distribuir el malware Bookcode en el pasado.
Tanto el malware wAgent como el malware Bookcode tienen funcionalidades similares, incluida una puerta trasera con todas las funciones. Después de implementar la carga útil final, el operador de malware puede controlar la máquina de la víctima de casi cualquier forma que desee.
“Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con el COVID-19. Si bien el grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede buscar información estratégica. Creemos que todas las entidades involucradas actualmente en actividades como la investigación de vacunas o el manejo de crisis deben estar en alerta máxima ante los ciberataques”, comenta Seongsu Park, experto en seguridad de Kaspersky.
