12 ene 2016

Ucrania sin energía eléctrica por un malware

El 23 de diciembre de 2015, alrededor de la mitad de los hogares en la región ucraniana llamada Ivano-Frankivsk (con una población de 1,4 millones de habitantes) se quedaron sin electricidad durante unas horas. Según el medio de noticias ucraniano TSN, la causa de la interrupción energética fue un "virus utilizado en un ataque de hackers".

Al analizar los datos telemétricos propios de ESET, descubrimos que el caso denunciado no fue un incidente aislado y que otras empresas energéticas en Ucrania también habían sido atacadas por ciberdelincuentes al mismo tiempo.

Además, nos enteramos de que los atacantes han estado utilizando una familia de malware que venimos siguiendo de cerca desde hace bastante tiempo: BlackEnergy. En concreto, este backdoor se utilizó para instalar un componente KillDisk en los equipos de destino, cuya función es impedir que arranquen.

Eventos (no) relacionados?

El troyano BlackEnergy se ha utilizado con diversos fines en los últimos años. En la conferencia Virus Bulletin en 2014, hablamos de una serie de ataques de espionaje cibernético contra objetivos de alto valor que estaban relacionados con el gobierno ucraniano. Los operadores de malware utilizaron numerosos mecanismos de difusión para infectar a sus víctimas, incluyendo la grave vulnerabilidad 0-day de PowerPoint llamada CVE-2014-4114.

El troyano KillDisk se ejecuta en sistemas ya infectados con BlackEnergy. Videos y documentos quedan destruidos Mientras que los principales objetivos de los ataques de 2014 parecían tener que ver con el espionaje, el descubrimiento del troyano dropper BlackEnergy, capaz de infectar los sistemas de control industrial SCADA, dio a entender que la banda criminal podría tener algo aún más dramático entre manos.

En los recientes ataques contra las empresas de distribución de electricidad en Ucrania, se descargó el troyano destructivo KillDisk, que luego se ejecutó en los sistemas previamente infectados con el troyano BlackEnergy.

CERT-UA dio a conocer la relación entre BlackEnergy y KillDisk en noviembre. En ese caso en particular, los ciberdelincuentes habían atacado a una serie de empresas de medios de prensa en la época de elecciones locales ucranianas de 2015. El informe afirma que un gran número de materiales de vídeo y varios documentos quedaron destruidos como resultado del ataque.

El escenario de ataque es simple: el equipo de destino recibe un correo electrónico dirigido que contiene un archivo adjunto con un documento malicioso. La empresa de seguridad de Ucrania CyS Centrum publicó dos capturas de pantalla de mensajes de correo electrónico utilizados en campañas de BlackEnergy, donde los atacantes suplantaron la dirección del remitente para que pareciera que pertenecía a Rada (el Parlamento ucraniano).
El documento en sí contiene un texto que trata de persuadir a la víctima para que ejecute la macro del documento. Este es un ejemplo donde se emplea la Ingeniería Social en lugar de aprovechar las vulnerabilidades del software. Si se logra engañar a las víctimas, terminan infectadas con BlackEnergy Lite.

Contenido completo en fuente original WeLiveSecurity

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!