El pasado 23 de diciembre más de medio millón de ucranianos sufrieron un apagón de energía eléctrica que duró unas horas. Ahora conocemos la relación entre esta incidencia y un malware que afectó a varias centrales eléctricas del país.
El corte de luz afectó a la
mitad de los habitantes de la región ucraniana de Ivano-Frankivsk, con una
población de 1,4 millones de habitantes. ESET ha realizado una investigación
del ataque y ha publicado unos interesantes resultados. Según la firma el
culpable es el malware conocido como BlackEnergy, que se encargó de instalar el
troyano KillDisk que impide el arranque de los sistemas.
El propio CERT ucraniano (CERT-UA) reconoció el pasado noviembre la relación entre ambas muestras de malware en ataques realizados sobre medios de comunicación ucranianos durante las elecciones locales del país en 2015. Los delincuentes consiguieron destruir múltiples documentos y vídeos.
ESET confirma la infección por
BlackEnergy y KillDisk en varias empresas de distribución de electricidad en
Ucrania. Según la firma antivirus en esta ocasión la infección se realizó a
través de archivos de Microsoft Office con macros maliciosas, enviados a través
de correos electrónicos dirigidos. Una técnica habitual empleada por múltiples
grupos de delincuentes para llevar a cabo este tipo de ataques.
El documento que se ha mostrado como muestra del ataque trababa de convencer al usuario para que ejecutara la macro maliciosa. En este caso no se empleaba ninguna vulnerabilidad para tratar de infectar el sistema, sino que trataba de engañar al usuario para que ejecutara la macro maliciosa.
En la incidencia de Ucrania se
ha podido comprobar que BlackEnergy se encargó de instalar el malware KillDisk.
Este troyano borra archivos importantes del sistema para impedir su arranque.
Además confirman que la variante de KillDisk detectada también contenía
funciones específicas para el ataque a sistemas industriales.
Más información:
- El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania http://www.welivesecurity.com/la-es/2016/01/05/troyano-blackenergy-ataca-planta-energia-electrica-ucrania/
- BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/
- Potential Sample of Malware from the Ukrainian Cyber Attack Uncoveredhttps://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered#