{"id":26596,"date":"2021-12-22T15:30:46","date_gmt":"2021-12-22T13:30:46","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26596"},"modified":"2021-12-22T15:30:46","modified_gmt":"2021-12-22T13:30:46","slug":"pseudomanuscrypt-industrial-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/","title":{"rendered":"El ataque no estandarizado de PseudoManuscrypt"},"content":{"rendered":"

En junio del 2021, nuestros especialistas descubrieron un nuevo malware<\/em> llamado PseudoManuscrypt. Los m\u00e9todos de PseudoManuscrypt son bastante comunes para un spyware<\/em>: funciona como un keylogger<\/em>, recopila informaci\u00f3n sobre conexiones VPN establecidas y guarda contrase\u00f1as, roba contenidos del portapapeles, registra sonidos con el micr\u00f3fono (en el caso de que el ordenador tenga uno incorporado) y captura im\u00e1genes. Una variante tambi\u00e9n puede robar las credenciales de los servicios de mensajer\u00eda QQ y WeChat, grabar la pantalla e intentar deshabilitar las soluciones de seguridad. Despu\u00e9s, env\u00eda los datos al servidor de los atacantes.<\/p>\n

Puedes consultar nuestro informe de ICS CERT<\/a> para conocer los detalles t\u00e9cnicos del ataque y los indicadores de compromiso.<\/p>\n

Origen del nombre<\/h2>\n

Nuestros expertos encontraron algunas similitudes entre el ataque nuevo y la campa\u00f1a ya conocida Manuscrypt<\/a>, pero el an\u00e1lisis revel\u00f3 que un actor completamente diferente, el grupo APT41, hab\u00eda utilizado antes parte del c\u00f3digo del malware<\/em> en sus ataques. A\u00fan tenemos que determinar la responsabilidad del ataque nuevo, al que por ahora llamamos PseudoManuscrypt.<\/p>\n

C\u00f3mo infecta PseudoManuscrypt el sistema<\/h2>\n

Para una infecci\u00f3n exitosa deben darse una cadena compleja de eventos. Por lo general, el ataque a un ordenador comienza cuando el usuario descarga y ejecuta un malware<\/em> que imita el paquete de instalaci\u00f3n pirata de un software<\/em> popular.<\/p>\n

Puedes encontrarte con un se\u00f1uelo de PseudoManuscrypt si buscas software<\/em> pirata por Internet. Los sitios web que distribuyen c\u00f3digo malicioso que coincide con b\u00fasquedas populares se encuentran entre los primeros resultados de los motores de b\u00fasqueda, una m\u00e9trica que parece que los atacantes controlan a la perfecci\u00f3n.<\/p>\n

Aqu\u00ed se puede ver claramente por qu\u00e9 ha habido tantos intentos de infecci\u00f3n de sistemas industriales. Adem\u00e1s de proporcionar malware<\/em> que se hace pasar por software<\/em> popular (como paquetes de oficina, soluciones de seguridad, sistemas de navegaci\u00f3n y shooters<\/em> 3D en primera persona), los atacantes tambi\u00e9n ofrecen paquetes de instalaci\u00f3n falsos para software<\/em> profesional, que incluye ciertas herramientas para interactuar con controladores l\u00f3gicos programables (PLC) utilizando ModBus. El resultado: una cantidad anormalmente alta de ordenadores de sistemas de control industrial (ICS) infectados (un 7,2 % del total).<\/p>\n

\"\"

Resultados de la b\u00fasqueda de software pirata. PseudoManuscrypt se encuentra justo en el primer enlace. Fuente<\/a><\/p><\/div>\n

En el ejemplo de la captura de pantalla anterior aparece un software<\/em> para gestores de sistemas e ingenieros de red. En teor\u00eda, este vector de ataque podr\u00eda proporcionar a los atacantes acceso total a la infraestructura de la empresa.<\/p>\n

Los atacantes tambi\u00e9n utilizan un mecanismo de entrega de tipo Malware-as-a-Service<\/em> (MaaS), mediante el cual pagan a otros ciberdelincuentes para distribuir PseudoManuscrypt. Esta pr\u00e1ctica da lugar a una funci\u00f3n interesante que nuestros expertos encontraron mientras analizaban la plataforma MaaS: en ocasiones PseudoManuscrypt se agrupaba con otro malware<\/em> que la v\u00edctima instalaba como un paquete \u00fanico. El prop\u00f3sito de PseudoManuscrypt es espiar, pero otros programas maliciosos tienen otros objetivos, como el cifrado de datos para la extorsi\u00f3n de dinero.<\/p>\n

\u00bfA qui\u00e9n est\u00e1 dirigido PseudoManuscrypt?<\/h2>\n

La mayor cantidad de detecciones de PseudoManuscrypt ha tenido lugar en Rusia, India, Brasil, Vietnam e Indonesia y, de estos intentos de ejecuci\u00f3n de c\u00f3digo malicioso, los usuarios de las organizaciones industriales componen una buena parte. Dentro de las v\u00edctimas de este sector se incluyen gerentes de sistemas de automatizaci\u00f3n de edificios, empresas energ\u00e9ticas, fabricantes, empresas de construcci\u00f3n e incluso proveedores de servicios para plantas de tratamiento de aguas. Adem\u00e1s, una cantidad inusualmente alta de ordenadores afectados estaban involucrados en procesos de ingenier\u00eda y en la producci\u00f3n de productos nuevos en empresas industriales.<\/p>\n

M\u00e9todos de defensa contra PseudoManuscrypt<\/h2>\n

Para protegerte contra PseudoManuscrypt debes contar con soluciones de protecci\u00f3n que sean de confianza y se actualicen con regularidad, adem\u00e1s, deben instalarse en el 100 % de los sistemas de una empresa. Asimismo, recomendamos implementar pol\u00edticas que dificulten la desactivaci\u00f3n de esta protecci\u00f3n.<\/p>\n

Para los sistemas inform\u00e1ticos de la industria, tambi\u00e9n ofrecemos una soluci\u00f3n especializada, Kaspersky Industrial CyberSecurity<\/a>, que protege los ordenadores (incluidos los especializados) y supervisa las transferencias de datos que utilizan protocolos espec\u00edficos.<\/p>\n

Tambi\u00e9n ten en cuenta la importancia de concienciar al personal sobre los riesgos de ciberseguridad. No puedes descartar por completo la posibilidad de un ataque de phishing<\/em> ingenioso, pero s\u00ed puedes ayudar al personal a estar alerta y tambi\u00e9n informarle sobre el peligro de instalar software<\/em> no autorizado (y especialmente el pirata) en ordenadores con acceso a los sistemas industriales.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un ciberataque afecta a una gran cantidad inesperada de sistemas de control industrial.<\/p>\n","protected":false},"author":665,"featured_media":26598,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[2264,3383,842],"class_list":{"0":"post-26596","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ciberseguridad-industrial","10":"tag-sistemas-industriales","11":"tag-spyware"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pseudomanuscrypt-industrial-malware\/23759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/19258\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/25977\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pseudomanuscrypt-industrial-malware\/23955\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pseudomanuscrypt-industrial-malware\/32108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pseudomanuscrypt-industrial-malware\/10384\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/43177\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/pseudomanuscrypt-industrial-malware\/15630\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pseudomanuscrypt-industrial-malware\/32236\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pseudomanuscrypt-industrial-malware\/27948\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pseudomanuscrypt-industrial-malware\/24697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pseudomanuscrypt-industrial-malware\/30119\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pseudomanuscrypt-industrial-malware\/29910\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ciberseguridad-industrial\/","name":"ciberseguridad industrial"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=26596"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26596\/revisions"}],"predecessor-version":[{"id":26602,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26596\/revisions\/26602"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/26598"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=26596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=26596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=26596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}