El grupo Lazarus, detrás de dos ataques contra entidades que investigan la COVID-19

Los cibercriminales tiene entre sus objetivos a compañías farmacéuticas que están desarrollando la vacuna contra el coronavirus y organismos de Ministerios de Sanidad.

Desde hace un año, la salud se ha convertido en el tema principal de todas las conversaciones. El impacto de la pandemia de coronavirus sigue siendo notable… y los ciberdelincuentes no iban a dejan pasar la oportunidad para incrementar sus ganancias.

La COVID-19 está guiando muchas de sus campañas. La compañía de seguridad Kaspersky, que aplica un rastreo continuo al grupo Lazarus, ha desvelado que esta conocida formación de cibercriminales es la causante de un par de incidentes recientes relacionados con la crisis sanitaria.

Uno de ellos se produjo en la recta fianl de septiembre y tuvo como objetivo a una de las compañías farmacéuticas que está desarrollando la vacuna, que acabó sufriendo una brecha de datos. Los atacantes usaron el malware Bookcode, que Lazarus ya había empleado contra la cadena de suministro a través de una firma de software surcoreana.

Otro se dirigió a dos servidores de Windows pertenecientes a un organismo de un Ministerio de Sanidad del que no se ha desvelado la identidad. Fue a finales de de octubre y los servidores acabaron comprometidos por el malware wAgent que presenta el mismo esquema de infección que el usado por Lazarus en golpes anteriores a empresas de criptomonedas.

Bookcode y wAgent comparten funcionalidades, como una puerta trasera con funciones completas. Al desplegar la carga útil final, los autores del ataque pueden controlar las máquinas de la víctima prácticamente de cualquier manera.

“Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con COVID-19”, observa Seongsu Park, experto en seguridad de Kaspersky, cuya investigación sigue en curso.

“Aunque este grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede estar detrás de la investigación estratégica”, apunta Park. “Creemos que todas las entidades que participan actualmente en actividades como la investigación de vacunas o la gestión de crisis deberían estar en alerta máxima por si se producen ciberataques”.