in

Presunto malware de fabricación rusa intentó cerrar la instalación de energía de Ucrania

02QshMoOYGzCVrgaLyNBy4s 1.fit lim.size 1200x630.v1649769042

Es posible que el gobierno ruso haya intentado cerrar la red eléctrica de Ucrania con una cepa de malware de Windows capaz de controlar los sistemas industriales.

El martes, la empresa antivirus ESET anunció que había trabajado con el gobierno ucraniano para frustrar el ataque de malware a un proveedor de energía no identificado en el país.

El malware, denominado Industroyer2, se encontró en una computadora del proveedor de energía. Fue diseñado para comunicarse con equipos industriales, incluidas las subestaciones eléctricas, que convierten la electricidad de alto voltaje para suministrar energía a hogares y empresas.

ESET aún está investigando cómo funciona Industroyer2, pero descubrió que estaba programado para comenzar a ejecutar sus procesos maliciosos el 8 de abril a las 6:10 a. m. EST, probablemente en un intento de cortar la energía en el proveedor de energía.

Subestacion electrica

(Foto: Robert Brook/Getty Images)

ESET también atribuye el malware al grupo de piratería patrocinado por el estado ruso Sandworm, que el gobierno de EE. UU. sospecha que trabaja para la agencia de inteligencia militar del Kremlin, GRU. La evidencia incluye cómo el malware comparte similitudes con el malware Industroyer original, que logró interrumpir la red eléctrica de Ucrania en 2016. “Evaluamos con mucha confianza que la nueva variante se creó con el mismo código fuente”, dijo ESET.

No está claro cómo se propaga la nueva cepa, Industroyer2. Pero las autoridades ucranianas dicen que el proveedor de energía sufrió un compromiso inicial a más tardar en febrero, el mismo mes en que Rusia invadió Ucrania. La muestra de malware Industroyer 2 encontrada en la red del proveedor de energía también se compiló el 23 de marzo, lo que sugiere que los piratas informáticos planearon el ataque dos semanas antes.

ESET también descubrió varias otras cepas de malware dentro de la red del proveedor de energía. Esto incluía la presencia de CaddyWiper, un malware separado basado en Windows que puede borrar datos en una computadora y evitar que la máquina se reinicie.

Recomendado por Nuestros Editores

Cómo se desarrolló el ataque

(ESET)

“Creemos que (CaddyWiper) tenía la intención de ralentizar el proceso de recuperación y evitar que los operadores de la compañía de energía recuperaran el control de las consolas del ICS (sistema de control industrial). También se implementó en la máquina donde se ejecutó Industroyer2, probablemente para cubrir sus huellas”, agregó ESET.

El CaddyWiper se propagó después de que los piratas informáticos secuestraran el objeto de política de grupo del proveedor de energía, un componente creado por Microsoft que puede ayudar a los administradores de TI a configurar computadoras en una red corporativa. Durante el ataque, los piratas informáticos también implementaron otro malware de eliminación de datos en la red del proveedor de energía, excepto que esas cepas estaban diseñadas para atacar los sistemas basados ​​en Linux y Solaris.

El incidente representa el último ataque cibernético que Ucrania ha experimentado desde que Rusia invadió el país. El mes pasado, el proveedor de Internet satelital Viasat confirmó que también sufrió un ataque de una cepa de malware de borrado de datos que provocó una interrupción masiva de los usuarios en Ucrania y en toda Europa durante el inicio de la guerra.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }