ESET y Microsoft ayudan a Ucrania a detener un ciberataque a su red eléctrica

  • Actualidad

ESET - ataque red electrica Ucrania

Ucrania ha podido detener un ciberataque contra su red eléctrica que podía haber detenido el sistema de suministro eléctrico y dejar sin luz a gran parte de la población. El Equipo de Respuesta ante Incidentes Informáticos (CERT) ha podido contener el intento de sabotaje con el apoyo de ESET y Microsoft.

El CERT ucraniano ha podido contener un ataque contra una compañía eléctrica, cuyo nombre no ha desvelado, que tenía como objetivo paralizar infraestructuras críticas a gran escala. Esto ha sido posible con la ayuda de la firma de ciberseguridad ESET y Microsoft.

ESET ha explicado cómo ha sido el incidente y el papel de sus investigadores. Según informa, estoshan trabajado de forma conjunta con el CERT-UA en el análisis del ciberataque, perpetrado a través de una nueva variante del malware Industroyer que ha sido bautizado de forma conjunta como Industroyer2. Este es un malware que ya fue usado en 2016 por el grupo APT Sandworm para provocar cortes eléctricos en Ucrania.

Atacantes del grupo Sandworm intentaron recientemente desplegar el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania. Además, el grupo Sandworm también utilizó varias familias de malware destructivo que incluían a CaddyWiper, ORCSHRED, SOLOSHRED y AWFULSHRED. ESET descubrió CaddyWiper el pasado 14 de marzo, al utilizarse contra un banco ucraniano mientras que una nueva variante de este malware fue utilizada el pasado 8 de abril contra una empresa energética ucraniana.

En estos momentos, aún se desconoce como consiguieron los atacantes comprometer los sistemas de la víctima o como se movieron desde la red interna de la empresa a los sistemas de control industrial (ICS, en su acrónimo inglés).

A principios de 2017, los investigadores de ESET ya desvelaron que el malware Industroyer fue el responsable de un corte en el suministro eléctrico que impactó a Kiev a finales de 2016. Tal y como se detalló en el informe Win32/Industroyer: Una nueva amenaza para los sistemas de control industrial, este malware es capaz de interactuar con sistemas de control industrial que se encuentran frecuentemente en sistemas de generación y distribución de energía eléctrica.

En ese momento ya indicamos que era muy improbable que alguien pudiera programar y probar ese malware sin tener acceso al equipo especializado que se utiliza en el entorno industrial que los atacantes tienen como objetivo. Esto fue confirmado en 2020 cuando el gobierno de los Estados Unidos imputó a seis oficiales del ejército ruso pertenecientes al Departamento de Inteligencia (GRU) por su participación en múltiples ciberataques que incluían a Industroyer y NotPetya.

Con este y otros incidentes recientes, Ucrania se encuentra de nuevo en el centro de los ciberataques. Esta nueva campaña de Industroyer sigue a varias oleadas de malware destructivas que se han dirigido a varios sectores en Ucrania desde el inicio de la guerra.