Revelan dos incidentes APT contra entidades relacionadas con la investigación de la Covid-19

Guardar

bruselas, ciberataques
bruselas, ciberataques

Como ya se ha constatado, los cibercriminales no tardaron en aprovechar el coronavirus como el nuevo "gancho" de sus ataques y, a raíz de la pandemia, la industria de la salud se ha convertido en el objetivo más atacado entre todos los sectores. Ahora, Kaspersky ha informado que en otoño de 2020 sus investigadores identificaron dos incidentes APT que pueden ser atribuidos al grupo Lazarus y que tuvieron como objetivo entidades relacionadas con la investigación sobre la Covid-19.

Según ha explicado en un comunicado, el primer incidente fue un ataque contra un organismo de un Ministerio de Sanidad. Se produjo el 27 de octubre de 2020, cuando dos servidores de Windows de dicho organismo fueron comprometidos con un sofisticado malware, viejo conocido por Kaspersky y denominado 'wAgent'. "Un análisis más detallado ha demostrado que el malware wAgent utilizado contra esta entidad tiene el mismo esquema de infección que el que el grupo Lazarus utilizó anteriormente en los ataques a empresas de criptomoneda", indica la compañía de ciberseguridad.

El segundo incidente que ha reportado Kaspersky involucró a una compañía farmacéutica que se encuentra desarrollando una vacuna contra la Covid-19 y que también está autorizada para producirla y distribuirla. Según la telemetría de la firma de ciberseguridad, esta farmacéutica sufrió una brecha de datos el 25 de septiembre de 2020 y el atacante desplegó el malware Bookcode, previamente vinculado a Lazarus en un ataque a la cadena de suministro a través de una compañía de software surcoreana. Los investigadores de Kaspersky también observaron cómo el grupo Lazarus llevó a cabo un spear-phishing o comprometió estratégicamente las páginas web con el fin de distribuir el malware de Bookcode.

Atribuyen estos incidentes al grupo Lazarus

En su comunicado, Kaspersky también ha señalado que tanto el malware wAgent como el Bookcode, tienen funcionalidades similares, como una puerta trasera con funciones completas. Después de desplegar la carga útil final, el operador del malware puede controlar la máquina de la víctima de casi cualquier modo que desee.

Dadas las coincidencias observadas, los investigadores de Kaspersky están convencidos de que ambos incidentes están conectados con el grupo Lazarus. La investigación sigue en curso.

"Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con COVID-19. Aunque este grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede estar detrás de la investigación estratégica. Creemos que todas las entidades que participan actualmente en actividades como la investigación de vacunas o la gestión de crisis deberían estar en alerta máxima por si se producen ciberataques", ha declarado Seongsu Park, experto en seguridad de Kaspersky.