Investigadores de ESET han trabajado de forma conjunta con el CERT-UA en el análisis de un ciberataque contra una empresa de energía ucraniana. Gracias a esta colaboración, se ha podido descubrir una nueva variante del malware Industroyer que ha sido bautizado de forma conjunta como Industroyer2. Industroyer es un malware que ya fue usado en 2016 por el grupo APT Sandworm para provocar cortes eléctricos en Ucrania.
Atacantes del grupo Sandworm intentaron recientemente desplegar el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania. Además, el grupo Sandworm también utilizó varias familias de malware destructivo que incluían a CaddyWiper, ORCSHRED, SOLOSHRED y AWFULSHRED. ESET descubrió CaddyWiper el pasado 14 de marzo, al utilizarse contra un banco ucraniano mientras que una nueva variante de este malware fue utilizada el pasado 8 de abril contra una empresa energética ucraniana.
En estos momentos, aún se desconoce cómo consiguieron los atacantes comprometer los sistemas de la víctima o cómo se movieron desde la red interna de la empresa a los sistemas de control industrial (ICS por sus siglas en inglés). En la siguiente imagen podemos observar un resumen de las diferentes amenazas utilizadas en este ataque.
Además, podemos incluir este incidente en la siguiente línea temporal donde se observan los incidentes relacionados con este ciberataque:
- 24-02-2022: Comienzo de la invasión rusa de Ucrania
- 14-03-2022: Utilización del malware CaddyWiper contra un banco ucraniano
- 01-04-2022: Utilización del malware CaddyWiper contra una entidad gubernamental ucraniana
- 08-04-2022 14:58h UTC: Utilización de CaddyWiper contra algunos sistemas Windows y de malware destructivo en sistemas Linux y Solaris en empresa energética.
- 08-04-2022 15:02:22h UTC: Operador del grupo Sandworm crea una tarea programada para lanzar el malware Industroyer2
- 08-04-2022 16:10h UTC: Se ejecuta Industroyer2 para cortar la electricidad en una región de Ucrania
- 08-04-2022 16:20h UTC: Se ejecuta CaddyWiper en la misma máquina para borrar evidencias de la ejecución de Industroyer2
A principios de 2017, los investigadores de ESET ya desvelaron que el malware Industroyer fue el responsable de un corte en el suministro eléctrico que impactó a Kiev a finales de 2016. Tal y como se detalló en el informe Win32/Industroyer: Una nueva amenaza para los sistemas de control industrial, este malware es capaz de interactuar con sistemas de control industrial que se encuentran frecuentemente en sistemas de generación y distribución de energía eléctrica.
En ese momento ya indicamos que era muy improbable que alguien pudiera programar y probar ese malware sin tener acceso al equipo especializado que se utiliza en el entorno industrial que los atacantes tienen como objetivo. Esto fue confirmado en 2020 cuando el gobierno de los Estados Unidos imputó a seis oficiales del ejército ruso pertenecientes al Departamento de Inteligencia (GRU) por su participación en múltiples ciberataques que incluían a Industroyer y NotPetya.
Con este y otros incidentes recientes, Ucrania se encuentra de nuevo en el centro de los ciberataques. Esta nueva campaña de Industroyer sigue a varias oleadas de malware destructivas que se han dirigido a varios sectores en Ucrania desde el inicio de la guerra. Los investigadores de ESET continúan vigilando la situación de las ciberamenazas para poder proteger a las organizaciones y empresas de este tipo de ataques destructivos.