In juni 2021 ontdekten onze specialisten nieuwe malware met de naam PseudoManuscrypt. De methodes van PseudoManuscrypt zijn vrij standaard voor spyware. Zo werkt het als een keylogger, verzamelt het informatie over tot stand gebrachte VPN-verbindingen en opgeslagen wachtwoorden, steelt de inhoud van het klembord, neemt geluid op met de ingebouwde microfoon (als de computer er een heeft), en legt beelden vast. Een variant kan ook de inloggegevens van de messengers QQ en WeChat stelen, schermvideo’s opnemen en heeft een functie die beveiligingsoplossingen probeert uit te schakelen. Vervolgens stuurt het de gegevens naar de server van de aanvaller.
Bekijk voor de technische details van de aanval en de indicators of compromise ons ICS CERT-rapport.
Hoe de naam tot stand kwam
Onze experts vonden enkele overeenkomsten tussen de nieuwe aanval en de al bekende Manuscrypt-campagne, maar analyse wees uit dat een compleet andere actor, de APT41-groep, eerder een deel van de malwarecode had gebruikt in zijn aanvallen. We moeten de verantwoordelijkheid voor de nieuwe aanval nog vaststellen, en voor nu noemen we het PseudoManuscrypt.
Hoe PseudoManuscrypt een systeem infecteert
Een succesvolle infectie berust op een tamelijk complexe reeks gebeurtenissen. De aanval op een computer begint meestal wanneer de gebruiker malware downloadt en uitvoert die een illegaal installatiepakket voor populaire software imiteert.
Zo kunt u PseudoManuscrypt-aas tegenkomen door op het internet naar illegale software te zoeken. Websites die schadelijke code verspreiden die overeenkomt met populaire zoekopdrachten, scoren hoog in de resultaten van zoekmachines. Dit is een gegeven dat aanvallers in de gaten lijken te houden.
Hier is duidelijk te zien waarom er zoveel pogingen zijn geweest om industriële systemen te besmetten. Naast het aanbieden van malware die zich voordoet als populaire software (zoals kantoorsuites, beveiligingsoplossingen, navigatiesystemen en 3D first-person shooters), bieden de aanvallers ook valse installatiepakketten voor professionele software, waaronder bepaalde hulpprogramma’s voor interactie met programmeerbare logische controllers (PLC’s) met behulp van de ModBus. Het resultaat: een abnormaal hoog aantal besmette computers met industriële besturingssystemen (ICS) (7,2% van het totaal).
Het voorbeeld in de schermafbeelding hierboven bevat software voor systeembeheerders en netwerkingenieurs. Theoretisch zou een dergelijke aanvalsvector aanvallers volledige toegang kunnen verschaffen tot de infrastructuur van het bedrijf.
De aanvallers gebruiken ook een Malware-as-a-Service (MaaS)-leveringsmechanisme, waarbij ze andere cybercriminelen betalen om PseudoManuscrypt te verspreiden. Die praktijk gaf aanleiding tot een interessant kenmerk dat onze deskundigen aantroffen bij het analyseren van het MaaS-platform: Soms werd PseudoManuscrypt gebundeld met andere malware die het slachtoffer als één pakket installeerde. Het doel van PseudoManuscrypt is spionage, maar andere schadelijke programma’s streven andere doelen na, zoals het versleutelen van gegevens om vervolgens om losgeld te vragen.
Wat zijn de doelwitten van PseudoManuscrypt?
Het grootste aantal detecties van PseudoManuscrypt heeft zich voorgedaan in Rusland, India, Brazilië, Vietnam en Indonesië. Van het enorme aantal pogingen om kwaadaardige code uit te voeren, nemen gebruikers bij industriële organisaties een aanzienlijk deel voor hun rekening. Slachtoffers in deze sector zijn onder meer beheerders van automatiseringssystemen voor gebouwen, energiebedrijven, fabrikanten, bouwondernemingen en zelfs dienstverleners voor waterzuiveringsinstallaties. Bovendien was een ongewoon groot aantal van de getroffen computers betrokken bij technische processen en bij de productie van nieuwe producten in industriële bedrijven.
Methoden voor de verdediging tegen PseudoManuscrypt
Voor bescherming tegen PseudoManuscrypt moeten er betrouwbare en regelmatig bijgewerkte beschermende oplossingen zijn, en deze moeten op 100% van de systemen van een bedrijf zijn geïnstalleerd. Bovendien bevelen we aan een beleid in te voeren dat het uitschakelen van bescherming bemoeilijkt.
Voor IT-systemen in de industrie bieden wij ook een gespecialiseerde oplossing, Kaspersky Industrial CyberSecurity, die zowel computers beschermt (ook gespecialiseerde) als gegevensoverdrachten controleert die gebruikmaken van specifieke protocollen.
Vergeet ook niet dat het belangrijk is uw personeel bewust te maken van de risico’s van cybersecurity. U kunt de mogelijkheid van slimme phishing-aanvallen niet volledig uitsluiten, maar u kunt het personeel helpen alert te blijven en hen ook voorlichten over de gevaren van het installeren van ongeoorloofde (en vooral illegaal gekopieerde) software op computers met toegang tot industriële systemen.