En diciembre de 2015, casi la mitad de los hogares de la región de Ivano-Frankivsk en Ucrania sufrieron un apagón durante seis horas, cuya causa fue un ataque cibernético que utilizó malware, según reportes. Resulta interesante que el caso reportado no fuera un accidente aislado, ya que otras compañías eléctricas ucranianas también fueron víctimas del mismo ataque.
Investigaciones posteriores llevaron al descubrimiento de una muestra de malware que, se dijo, había provocado el apagón. De acuerdo con el reporte de SANS, “el malware es un ejecutable de Windows de 32 bits y es modular por naturaleza, lo que indica que es una pieza de malware más compleja”. Al final, el malware, que fue bautizado como “BlackEnergy” parece haber infectado los sistemas de las plantas después de un ataque de spear phishing exitoso.
A continuación, lo que sabemos de BlackEnergy:
¿Qué es BlackEnergy?
BlackEnergy, que se identificó hace varios años, es un troyano que fue diseñado para lanzar ataques distribuidos de denegación de servicio (DDoS), descargar spam a la medida y plugins para robar información bancaria.
¿Qué hace?
Se sabe que el malware BlackEnergy se ha utilizado para entregar KillDisk, una funcionalidad que puede inutilizar los sistemas y podría anular componentes críticos en un sistema infectado. Se sabe también que tiene funciones excepcionales que podrían poner el riesgo a los Sistemas de Control Industrial (ICS). Un escenario de ataque involucra a un objetivo que recibe un correo electrónico que contiene un archivo adjunto malicioso. El atacante utiliza una dirección similar a la del emisor para dar la apariencia de que proviene de Rada (el parlamento ucraniano). Una vez que el objetivo abre el archivo adjunto, se le pide a la víctima ejecutar el macro en el documento.
¿Quiénes son sus objetivos?
Parece que el objetivo del malware BlackEnergy es la compañía eléctrica ucraniana Prykarpattya Oblenergo y otras compañías de distribución de electricidad de aquel país europeo. También se ha utilizado el malware BlackEnergy para atacar a otras empresas que proveen servicios públicos.
¿Quién está detrás de los ataques de BlackEnergy?
El ataque se ha atribuido a Sandworm, un grupo de espionaje cibernético ruso, conocido por haber hostigado a oficiales ucranianos y a sus aliados a principios de 2007. El grupo también es conocido por haber utilizado malware para atacar los sistemas SCADA en octubre de 2014.
Ya se ha establecido una comisión especial y se espera que las investigaciones determinen el origen y los motivos de quienes están detrás de los ataques de BlackEnergy.
Leave a Reply