Una campaña masiva de spyware ataca a miles de sistemas de control industrial

  • Endpoint

Seguidad Industria.jpg

Llamado PseudoManuscrypt, por sus similitudes con el malware Manuscrypt del grupo de APT Lazarus, el malware fue bloqueado por los productos de Kaspersky en más de 35.000 ordenadores en 195 países. Muchos de los objetivos eran organizaciones industriales y gubernamentales.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

Gestión de riesgos para la mejora de los planes de continuidad de negocio Leer

Las organizaciones industriales son algunos de los objetivos más codiciados por los ciberdelincuentes, tanto para obtener ganancias financieras como para recopilar inteligencia. De hecho, 2021 vio un interés significativo en las organizaciones industriales por parte de conocidos grupos de APT como Lazarus y APT41. Mientras investigaban otra serie de ataques, los expertos de Kaspersky descubrieron una nueva pieza de malware con algunas similitudes con "Manuscrypt", malware personalizado utilizado en la campaña ThreatNeedle del grupo de amenazas persistentes avanzadas Lazarus contra la industria de defensa. Por lo tanto, lo llamaron PseudoManuscrypt.

Este nuevo malware contiene capacidades avanzadas de espionaje y se ha visto dirigido tanto a organizaciones gubernamentales como a sistemas de control industrial en numerosas industrias. Los productos de Kaspersky bloquearon PseudoManuscrypt en más de 35.000 ordenadores en 195 países. Muchos de los objetivos eran organizaciones industriales y gubernamentales, incluidas empresas militares-industriales y laboratorios de investigación. El 7,2% de los ordenadores atacados formaban parte de sistemas de control industrial, siendo la ingeniería y la automatización de edificios las industrias más afectadas.

PseudoManuscrypt se descarga inicialmente en los sistemas de los objetivos a través de archivos falsos de instaladores de software pirateado, algunos de los cuales son de software pirateado específico de sistemas de control industrial. Es probable que estos instaladores falsos se ofrezcan a través de una plataforma de malware como servicio (MaaS).

En algunos casos, PseudoManuscrypt se instaló a través de la botnet Glupteba. Después de la infección inicial, se inicia una cadena de infección complicada que finalmente descarga el módulo malicioso principal. Los expertos de Kaspersky han identificado dos variantes de este módulo. Ambos son capaces de capacidades avanzadas de spyware, incluido el registro de pulsaciones de teclas, la copia de datos del portapapeles, el robo de credenciales de autenticación VPN (y potencialmente RDP) y datos de conexión, capturas de pantalla, etc.

Los ataques no muestran preferencia por industrias particulares, sin embargo, la gran cantidad de equipos de ingeniería atacados, incluidos los sistemas utilizados para 3D y modelado físico y gemelos digitales, sugieren que el espionaje industrial puede ser un objetivo. Dado el gran número de víctimas y la falta de un enfoque explícito, Kaspersky no vincula la campaña con Lazarus ni con ningún actor conocido de APT.

"Esta es una campaña muy inusual, y todavía estamos reuniendo la diversa información que tenemos. Sin embargo, un hecho es claro: esta es una amenaza a la que los especialistas deben prestar atención. Ha sido capaz de abrirse camino en miles de sistemas de control industrial, incluidas muchas organizaciones de alto perfil", comenta Vyacheslav Kopeytsev, experto en seguridad de Kaspersky.