Operadores de GreyEnergy podrían estar preparando nuevos ataques.
BlackEnergy, el grupo dirigido a atacar infraestructuras críticas y responsable de cortar la energía a una ciudad entera, cuenta con un nuevo arsenal de herramientas y posiblemente esté preparando nuevos ataques de cibersabotaje, reveló la firma de seguridad informática, ESET.
«BlackEnergy ha estado atacando a Ucrania durante años y se destacó en diciembre de 2015 cuando causó un apagón que dejó a 230 mil personas sin electricidad, logrando el primer apagón causado por un ciberataque. Desde ese incidente de vanguardia, los investigadores de ESET han estado siguiendo estas actividades maliciosas llegando a detectar una evolución de la amenaza a la que han denominado GreyEnergy».
Anton Cherepanov, investigador principal de seguridad de ESET que dirigió la investigación, comentó que GreyEnergy ha estado involucrado en ataques contra compañías de energía y otros objetivos de alto valor en Ucrania y Polonia en los últimos tres años.
El ataque de 2015 a la infraestructura energética de Ucrania fue la operación más reciente conocida donde se usó el conjunto de herramientas BlackEnergy; posteriormente, los investigadores de ESET documentaron un nuevo subgrupo de APT, TeleBots.
«Los ataques relacionados con TeleBots son más notables por el brote mundial de NotPetya, el malware de borrado de disco que interrumpió las operaciones comerciales globales en 2017 y causó daños en la suma de miles de millones de dólares estadounidenses».
Como confirmaron recientemente los investigadores de ESET, los ataques de TeleBots también están conectados a Industroyer, el malware moderno más poderoso dirigido a los sistemas de control industrial y el culpable del segundo apagón eléctrico en la capital de Ucrania, Kiev, en 2016.
“GreyEnergy emergió junto con TeleBots, pero a diferencia de su primo más conocido, las actividades de GreyEnergy no se limitan a Ucrania y, hasta ahora, no han sido dañinas. Claramente, quieren volar bajo el radar”, dijo Anton Cherepanov.
El especialista puntualizó que si bien no se ha observado ninguna acción que se dirija específicamente al software o los dispositivos de Industrial Control Systems (ICS); se ha observado que los operadores de GreyEnergy han estado apuntando estratégicamente a las estaciones de trabajo de control ICS que ejecutan software y servidores SCADA.
Además, de comprender mejor las tácticas, herramientas y procedimientos de los grupos APT más avanzados, la divulgación y el análisis de ESET de GreyEnergy es importante para una protección exitosa contra este actor de amenazas en particular; por esta razón la compañía pone a disposición de todos los usuarios a nivel global los indicadores de compromiso (IoC) conocidos de esta amenaza para que puedan proteger sus infraestructuras.
C$T-GM