Industroyer2 Malware
Los servicios de infraestructura crítica en Ucrania han sido objeto de ataques cibernéticos, antes y después de la invasión rusa del país. Parece que los ciberdelincuentes siguen lanzando más operaciones de ataque y uno de los últimos objetivos es un proveedor de energía ucraniano.
La campaña amenazante intentó implementar una nueva pieza de malware llamada Industroyer2, que es capaz de dañar o interrumpir los ICS (Sistemas de Control Industrial) de la víctima. La operación estaba dirigida a una subestación eléctrica de alto voltaje y, según los informes, no logró sus nefastos objetivos. El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), Microsoft y la firma de ciberseguridad ESET están analizando el ataque. Hasta ahora, el probable culpable es el grupo de amenazas Sandworm, que se cree que opera bajo las órdenes de la agencia de inteligencia GRU de Rusia.
Características amenazantes
La amenaza Industroyer2 parece ser una versión nueva y mejorada del malware conocido como Industroyer ( CRASHOVERRIDE ). En diciembre de 2016, el Industroyer original se desplegó como parte de un ataque contra una subestación eléctrica en Ucrania que logró provocar un corte de energía de corta duración. Ahora, la amenaza Industroyer2 se está utilizando de manera similar. Se implementa en los sistemas de destino como un ejecutable de Windows que se suponía que se ejecutaría el 8 de abril a través de una tarea programada.
Para comunicarse con el equipo industrial del objetivo, Industroyer2 utiliza el protocolo IEC-104 (IEC 60870-5-104). Esto significa que puede afectar a los relés de protección de las subestaciones eléctricas. Por el contrario, la amenaza Industroyer más antigua era completamente modular y podía implementar cargas útiles para varios protocolos ICS. Se descubrió otra diferencia en los datos de configuración. Mientras que la amenaza original usaba un archivo separado para almacenar esta información, Industroyer2 tiene sus datos de configuración codificados en su cuerpo. Como resultado, cada muestra de la amenaza debe adaptarse específicamente al entorno de la víctima elegida.
