El ataque no estándar de PseudoManuscrypt

Un ciberataque afecta a una gran cantidad inesperada de sistemas de control industrial.

En junio de 2021, nuestros especialistas descubrieron un malware nuevo llamado PseudoManuscrypt. Los métodos de PseudoManuscrypt son bastante comunes para un spyware. Funciona como registrador de pulsaciones de teclas, recopila información sobre conexiones VPN establecidas y guarda contraseñas, roba contenidos del portapapeles, registra sonido con el micrófono integrado (si la computadora tiene uno), y captura imágenes. Una variante también puede robar las credenciales de los servicios de mensajería QQ y WeChat, capturar la pantalla en video y tiene una función que intenta deshabilitar las soluciones de seguridad. Después envía los datos al servidor de los atacantes.

Puedes consultar nuestro informe de ICS CERT para conocer los detalles técnicos del ataque y los indicadores de compromiso.

Origen del nombre

Nuestros expertos encontraron algunas similitudes entre el ataque nuevo y la campaña ya conocida Manuscrypt, pero el análisis reveló que un actor completamente diferente, el grupo APT41, había utilizado antes parte del código del malware en sus ataques. Aún tenemos que determinar la responsabilidad del ataque nuevo, y por ahora lo llamamos PseudoManuscrypt.

Cómo PseudoManuscrypt infecta el sistema

Una infección exitosa yace en un cadena compleja de eventos. El ataque a una computadora por lo general comienza cuando el usuario descarga y ejecuta un malware que imita el paquete de instalación pirata de un software popular.

Puedes encontrar el señuelo de PseudoManuscrypt si buscas un software pirata en el Internet. Los sitios web que distribuyen código malicioso que coincide con búsquedas populares están en los primeros lugares en los resultados de los motores de búsqueda, una métrica que parece que los atacantes vigilan.

Aquí se puede ver claramente por qué ha habido tantos intentos de infectar los sistemas industriales. Además de proporcionar malware que se hace pasar por software popular (como paquetes de oficina, soluciones de seguridad, sistemas de navegación y shooters 3D en primera persona), los atacantes también ofrecen paquetes de instalación falsos para software profesional, que incluye ciertas herramientas para interactuar con controladores lógicos programables (PLC) utilizando ModBus. El resultado: una cantidad anormalmente alta de computadoras del sistema de control industrial (ICS) infectadas (7.2% del total).

Resultados de búsqueda para software pirata. PseudoManuscrypt se encuentra justo en el primer enlace. <a href="https://ics-cert.kaspersky.ru/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/" target="_blank">Fuente</a>.

Resultados de búsqueda para software pirata. PseudoManuscrypt se encuentra justo en el primer enlace. Fuente.

 

En el ejemplo de la captura de pantalla anterior hay un software para administradores de sistemas e ingenieros de red. En teoría, este vector de ataque podría proporcionar a los atacantes acceso total a la infraestructura de la empresa.

Los atacantes también utilizan una mecanismo de entrega de tipo Malware-as-a-Service (MaaS), mediante el cual pagan a otros cibercriminales para distribuir PseudoManuscrypt. Esta práctica da lugar a una función interesante que nuestros expertos encontraron cuando analizaban la plataforma MaaS: Algunas veces PseudoManuscrypt se agrupaba con otro malware que la víctima instalaba como un paquete único. El propósito de PseudoManuscrypt es espiar, pero otros programas maliciosos tienen otros objetivos, como el cifrado de datos para extorsionar por dinero.

¿A quién está dirigido PseudoManuscrypt?

La mayor cantidad de detecciones de PseudoManuscrypt ocurrieron en Rusia, India, Brasil, Vietnam e Indonesia. De la gran cantidad de intentos de ejecutar el código malicioso, los usuarios en las organizaciones industriales componen una buena parte. Las víctimas en este sector incluyen gerentes de sistemas de automatización de edificios, empresas energéticas, fabricantes, empresas de construcción e incluso proveedores de servicios para plantas de tratamiento de aguas. Además, una cantidad inusualmente alta de computadoras afectadas estuvieron involucradas en los procesos de ingeniería, y en la producción de productos nuevos en empresas industriales.

Métodos de defensa contra PseudoManuscrypt

Para protegerte contra PseudoManuscrypt debes contar con soluciones de protección que sean confiables y se actualicen con regularidad, y deben instalarse en el 100% de los sistemas de una empresa. Asimismo, recomendamos implementar políticas que dificulten deshabilitar la protección.

Para los sistemas informáticos en la industria, también ofrecemos una solución especializada, Kaspersky Industrial CyberSecurit, la cual protege las computadoras (incluidas las especializadas) y monitorea las transferencias de datos que utilizan protocolos específicos.

También ten en cuenta la importancia de concienciar al personal sobre los riesgos de ciberseguridad. No puedes descartar por completo la posibilidad de ataques de phishing ingeniosos, pero puedes ayudar a tu personal a estar alerta, y también educarlos sobre el peligro de instalar software no autorizado (y especialmente el pirata) en computadoras con acceso a los sistemas industriales.

Consejos