{"id":20851,"date":"2021-01-14T10:27:17","date_gmt":"2021-01-14T16:27:17","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20851"},"modified":"2021-01-14T10:27:17","modified_gmt":"2021-01-14T16:27:17","slug":"incidentes-apt-relacionados-con-la-investigacion-de-la-vacuna-del-covid-19","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/incidentes-apt-relacionados-con-la-investigacion-de-la-vacuna-del-covid-19\/20851\/","title":{"rendered":"Incidentes APT relacionados con la investigaci\u00f3n de la vacuna del COVID-19"},"content":{"rendered":"

A medida que la pandemia y las medidas restrictivas en todo el mundo continuaban, se intent\u00f3 acelerar el desarrollo de la vacuna a trav\u00e9s de cualquier medio disponible. Aunque la mayor parte del trabajo se realiz\u00f3 con buenas intenciones, ha existido otra cara de la moneda, ya que algunos actores de amenaza han tratado de sacar provecho para su propio beneficio. Nuestros expertos, en su continuo rastreo de las campa\u00f1as del grupo Lazarus dirigidas a diversas industrias, han descubierto que este grupo estuvo detr\u00e1s de un par de incidentes relacionados con la COVID-19 hace s\u00f3lo un par de meses.<\/p>\n

El primero fue un ataque contra un organismo de un Ministerio de Sanidad. El 27 de octubre de 2020 dos servidores de Windows de la organizaci\u00f3n fueron comprometidos con un sofisticado malware denominado \u2018wAgent\u2019. Un an\u00e1lisis m\u00e1s detallado ha demostrado que el malware wAgent utilizado contra esta entidad tiene el mismo esquema de infecci\u00f3n que el que el grupo Lazarus utiliz\u00f3 anteriormente en los ataques a empresas de criptomoneda.<\/p>\n

El segundo incidente involucr\u00f3 a una compa\u00f1\u00eda farmac\u00e9utica. Seg\u00fan nuestra telemetr\u00eda, la compa\u00f1\u00eda sufri\u00f3 una brecha de datos el 25 de septiembre de 2020. La empresa se encuentra desarrollando una vacuna contra la COVID-19 y tambi\u00e9n est\u00e1 autorizada para producirla y distribuirla. Esta vez, el atacante despleg\u00f3 el malware Bookcode, previamente reportado<\/a> por el proveedor de seguridad por su conexi\u00f3n con Lazarus en un ataque a la cadena de suministro a trav\u00e9s de una compa\u00f1\u00eda de software surcoreana. Nuestro equipo tambi\u00e9n fue testigo de c\u00f3mo el grupo Lazarus llev\u00f3 a cabo un spear-phishing<\/em> o comprometi\u00f3 estrat\u00e9gicamente los sitios web con el fin de distribuir el malware de Bookcode en el pasado.<\/p>\n

Tanto el malware wAgent como el Bookcode, utilizados en ambos ataques, tienen funcionalidades similares, como una puerta trasera con funciones completas<\/a>. Despu\u00e9s de desplegar la carga \u00fatil final, el operador del malware puede controlar la m\u00e1quina de la v\u00edctima de casi cualquier manera que desee.<\/p>\n

\"\"Relaci\u00f3n del reciente ataque del grupo de Lazarus<\/strong><\/p>\n

\u00a0<\/p>\n

Dadas las coincidencias observadas, nuestros investigadores confirman con gran seguridad que ambos incidentes est\u00e1n conectados con el grupo Lazarus. La investigaci\u00f3n sigue en curso.<\/p>\n

\u201cEstos dos incidentes revelan el inter\u00e9s del grupo Lazarus en la inteligencia relacionada con COVID-19. Aunque este grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que tambi\u00e9n puede estar detr\u00e1s de la investigaci\u00f3n estrat\u00e9gica. Creemos que todas las entidades que participan actualmente en actividades como la investigaci\u00f3n de vacunas o la gesti\u00f3n de crisis deber\u00edan estar en alerta m\u00e1xima por si se producen ciberataques\u201d,<\/em> comenta Seongsu Park, experto en seguridad de Kaspersky.<\/strong><\/p>\n

Los productos de Kaspersky detectan el malware wAgent como HEUR:Trojan.Win32.Manuscrypt.gen y Trojan.Win64.Manuscrypt.bx.<\/p>\n

El malware de Bookcode se detecta como Trojan.Win64.Manuscrypt.ce.<\/p>\n

Para mantenerse a salvo de amenazas sofisticadas, recomendamos tomar las siguientes medidas de seguridad:<\/strong><\/p>\n