Skip to main content

BlackEnergy produce apagón en ucrania

 

El pasado 23 de diciembre más de medio millón de ucranianos sufrieron

un apagón de energía eléctrica que duró unas horas. Ahora conocemos

la relación entre esta incidencia y un malware que afectó a varias

centrales eléctricas del país.

 

El corte de luz afectó a la mitad de los habitantes de la región

ucraniana de Ivano-Frankivsk, con una población de 1,4 millones de

habitantes. ESET ha realizado una investigación del ataque y ha

publicado unos interesantes resultados. Según la firma el culpable

es el malware conocido como BlackEnergy, que se encargó de instalar

el troyano KillDisk que impide el arranque de los sistemas.

 

El propio CERT ucraniano (CERT-UA) reconoció el pasado noviembre la

relación entre ambas muestras de malware en ataques realizados sobre

medios de comunicación ucranianos durante las elecciones locales del

país en 2015. Los delincuentes consiguieron destruir múltiples

documentos y vídeos.

 

ESET confirma la infección por BlackEnergy y KillDisk en varias empresas

de distribución de electricidad en Ucrania. Según la firma antivirus en

esta ocasión la infección se realizó a través de archivos de Microsoft

Office con macros maliciosas, enviados a través de correos electrónicos

dirigidos. Una técnica habitual empleada por múltiples grupos de

delincuentes para llevar a cabo este tipo de ataques.

 

El documento que se ha mostrado como muestra del ataque trababa de

convencer al usuario para que ejecutara la macro maliciosa. En este caso

no se empleaba ninguna vulnerabilidad para tratar de infectar el

sistema, sino que trataba de engañar al usuario para que ejecutara la

macro maliciosa.

 

En la incidencia de Ucrania se ha podido comprobar que BlackEnergy se

encargó de instalar el malware KillDisk. Este troyano borra archivos

importantes del sistema para impedir su arranque. Además confirman que

la variante de KillDisk detectada también contenía funciones específicas

para el ataque a sistemas industriales.

 

Este caso muestra la importancia de proteger las infraestructuras

consideradas críticas y la protección especial que deben tener los

sistemas SCADA (Supervisory Control And Data Acquisition). Un tipo de

ataques e incidencias sin duda crecerán cada vez más, aunque esperemos

que las protecciones sean adecuadas y los usuarios finales no nos veamos

afectados.

Más información:

 

El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania

http://www.welivesecurity.com/la-es/2016/01/05/troyano-blackenergy-ataca-planta-energia-electrica-ucrania/

 

BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry

http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/

 

Potential Sample of Malware from the Ukrainian Cyber Attack Uncovered

https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered#

 

Furente:

Antonio Ropero antonior@hispasec.com

Twitter: @aropero

Comentarios Facebook

Rodrigo Gómez

Desarrollador web en Mirrorservices.com desde hace 5 años.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *