El pasado 23 de diciembre más de medio millón de ucranianos sufrieron un apagón de energía eléctrica que duró unas horas. Ahora conocemos la relación entre esta incidencia y un malware que afectó a varias centrales eléctricas del país.
El corte de luz afectó a la mitad de los habitantes de la región ucraniana de Ivano-Frankivsk, con una población de 1,4 millones de habitantes. ESET ha realizado una investigación del ataque y ha publicado unos interesantes resultados. Según la firma el culpable es el malware conocido como BlackEnergy, que se encargó de instalar el troyano KillDisk que impide el arranque de los sistemas.
El propio CERT ucraniano (CERT-UA) reconoció el pasado noviembre la relación entre ambas muestras de malware en ataques realizados sobre medios de comunicación ucranianos durante las elecciones locales del país en 2015. Los delincuentes consiguieron destruir múltiples documentos y vídeos.
ESET confirma la infección por BlackEnergy y KillDisk en varias empresas de distribución de electricidad en Ucrania. Según la firma antivirus en esta ocasión la infección se realizó a través de archivos de Microsoft Office con macros maliciosas, enviados a través de correos electrónicos dirigidos. Una técnica habitual empleada por múltiples grupos de delincuentes para llevar a cabo este tipo de ataques.
El documento que se ha mostrado como muestra del ataque trababa de convencer al usuario para que ejecutara la macro maliciosa. En este caso no se empleaba ninguna vulnerabilidad para tratar de infectar el sistema, sino que trataba de engañar al usuario para que ejecutara la macro maliciosa.
En la incidencia de Ucrania se ha podido comprobar que BlackEnergy se encargó de instalar el malware KillDisk. Este troyano borra archivos importantes del sistema para impedir su arranque. Además confirman que la variante de KillDisk detectada también contenía funciones específicas para el ataque a sistemas industriales.
Este caso muestra la importancia de proteger este tipo de infraestructuras críticas y la protección especial que deben tener los sistemas SCADA (Supervisory Control And Data Acquisition). Un tipo de ataques e incidencias que sin duda crecerán cada vez más, aunque esperemos que las protecciones sean adecuadas y los usuarios finales no nos veamos afectados.
Más información:
El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania
BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry
Potential Sample of Malware from the Ukrainian Cyber Attack Uncovered
Antonio Ropero
Twitter: @aropero
Deja una respuesta