Ucrania sufrió un ataque con una nueva variante de un peligroso malware llamado Industroyer, distribuido por el grupo Sandworm, en este caso usado para intentar cortar el suministro eléctrico ucraniano.
En este caso se han involucrado la ESET y Microsoft. El CERT-UA ha explicado que la infraestructura energética de Ucrania «sufrió dos oleadas de ataques» y que los primeros indicios datan de febrero de 2022, justo en las semanas en las que comenzó la invasión. «La desconexión de las subestaciones eléctricas y el desmantelamiento de la infraestructura de la empresa estaban previstos para la noche del viernes 8 de abril».
Industroyer no ha sido la única arma usada en estos ataques. ya que se han usado otras variantes de malware como CaddyWiper, AWFULSHRED, SOLOSHRED y ORCSHRED. Lo más preocupante es que aunque la CERT-UA cree que los atacantes pudieron acceder a la red eléctrica creando «cadenas de túneles SSH», la ESET no está segura de cómo los atacantes comprometieron el sistema del Sistema de Control Industrial de la CERT-UA en primer lugar.
Victor Zhora, portavoz del gobierno de Ucrania, ha explicado que el ataque ha sido establecido para «inhabilitar una serie de instalaciones, incluidas las subestaciones eléctricas» y atribuye la autoría de estos ciberataques a Rusia. Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, aseguró que estaban colaborando con la CERT-UA.
CaddyWiper
La distribución y el lanzamiento centralizados de CADDYWIPER se implementan a través del Group Policy Mechanism (GPO). El script POWERGAP PowerShell se usó para agregar una política de grupo que descarga los componentes del destructor de archivos desde un controlador de dominio y crea una tarea programada en una computadora. La capacidad de moverse horizontalmente entre segmentos de la red de área local se proporciona mediante la creación de cadenas de túneles SSH. IMPACKET se utiliza para la ejecución remota de comandos.
En coordinación con el despliegue de Industroyer2 en la red de un Sistema de Control Industrial (ICS), los atacantes desplegaron una nueva versión del malware destructivo CaddyWiper. Creemos que la intención era hacer más lento el proceso de recuperación y evitar que los operadores de la compañía de energía recuperaran el control de las consolas ICS. También se desplegó en la máquina donde se ejecutó Industroyer2, probablemente para borrar cualquier rastro del malware.
La primera versión de CaddyWiper fue descubierta por investigadores de ESET en Ucrania el 14 de marzo de 2022 cuando se desplegó en la red de un banco. Se desplegó a través de un objeto de política de grupo (GPO, por sus siglas en inglés), lo que indica que los atacantes tenían control previo de la red de la víctima. El wiper borra datos del usuario y la información almacenada en las particiones de las unidades conectadas, lo que hace que el sistema quede inoperable e irrecuperable.
Además de su uso de malware de limpieza destructivo, Rusia también implementó el nuevo malware Cyclops Blink como un medio para acceder a las redes de destino a través de dispositivos de firewall vulnerables y cooptarlos en una red de bots, aunque esto fue neutralizado a principios de abril por las autoridades estadounidenses y alemanas.
Fuentes:
https://cert.gov.ua/article/39518
Fuente obtenida de: https://blog.elhacker.net/2022/04/intento-de-ciberataque-ruso-contra-un-proveedor-energenia-ucraniano.html
