El pasado 23 de diciembre más de medio millón de ucranianos sufrieron
un apagón de energía eléctrica que duró unas horas. Ahora conocemos
la relación entre esta incidencia y un malware que afectó a varias
centrales eléctricas del país.
El corte de luz afectó a la mitad de los habitantes de la región
ucraniana de Ivano-Frankivsk, con una población de 1,4 millones de
habitantes. ESET ha realizado una investigación del ataque y ha
publicado unos interesantes resultados. Según la firma el culpable
es el malware conocido como BlackEnergy, que se encargó de instalar
el troyano KillDisk que impide el arranque de los sistemas.
El propio CERT ucraniano (CERT-UA) reconoció el pasado noviembre la
relación entre ambas muestras de malware en ataques realizados sobre
medios de comunicación ucranianos durante las elecciones locales del
país en 2015. Los delincuentes consiguieron destruir múltiples
documentos y vídeos.
ESET confirma la infección por BlackEnergy y KillDisk en varias empresas
de distribución de electricidad en Ucrania. Según la firma antivirus en
esta ocasión la infección se realizó a través de archivos de Microsoft
Office con macros maliciosas, enviados a través de correos electrónicos
dirigidos. Una técnica habitual empleada por múltiples grupos de
delincuentes para llevar a cabo este tipo de ataques.
El documento que se ha mostrado como muestra del ataque trababa de
convencer al usuario para que ejecutara la macro maliciosa. En este caso
no se empleaba ninguna vulnerabilidad para tratar de infectar el
sistema, sino que trataba de engañar al usuario para que ejecutara la
macro maliciosa.
En la incidencia de Ucrania se ha podido comprobar que BlackEnergy se
encargó de instalar el malware KillDisk. Este troyano borra archivos
importantes del sistema para impedir su arranque. Además confirman que
la variante de KillDisk detectada también contenía funciones específicas
para el ataque a sistemas industriales.
Este caso muestra la importancia de proteger las infraestructuras
consideradas críticas y la protección especial que deben tener los
sistemas SCADA (Supervisory Control And Data Acquisition). Un tipo de
ataques e incidencias sin duda crecerán cada vez más, aunque esperemos
que las protecciones sean adecuadas y los usuarios finales no nos veamos
afectados.
Más información:
El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania
BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry
Potential Sample of Malware from the Ukrainian Cyber Attack Uncovered
Furente:
Antonio Ropero antonior@hispasec.com
Twitter: @aropero
