GreyEnergy, el sucesor del grupo de amenazas BlackEnergy

  • Infraestructuras críticas

Los actores de amenazas detrás de GreyEnergy han intentado mantenerse bajo el radar, concentrándose en el espionaje y el reconocimiento, posiblemente en la preparación de futuros ataques de cibersabotaje o preparando el terreno para una operación dirigida por otro grupo.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Una investigación reciente de ESET ha descubierto detalles del sucesor del grupo de amenazas persistentes avanzadas (APT) BlackEnergy, cuyo conjunto de herramientas principal se vio por última vez en diciembre de 2015 durante el primer apagón causado por un ciberataque. En esa, cuando alrededor de 230.000 personas se quedaron sin electricidad, se comenzó a detectar otro marco de malware y lo llamaron GreyEnergy. Desde entonces, se ha utilizado para atacar a empresas de energía y otros objetivos de alto valor en Ucrania y Polonia durante los últimos tres años.

Aunque los datos de telemetría de ESET muestran actividad de malware de GreyEnergy durante los últimos tres años, este grupo de APT no se ha documentado hasta ahora. Esto se debe probablemente al hecho de que esas actividades no han sido de naturaleza destructiva, a diferencia de las numerosas campañas de ransomware de TeleBots, el ataque de la red eléctrica habilitado por BlackEnergy y el apagón causado por Industroyer. En cambio, los actores de amenazas detrás de GreyEnergy han intentado mantenerse bajo el radar, concentrándose en el espionaje y el reconocimiento, posiblemente en la preparación de futuros ataques de cibersabotaje o preparando el terreno para una operación llevada a cabo por algún otro grupo de APT.

El marco de malware de GreyEnergy tiene muchas similitudes con BlackEnergy. Su construcción modular es similar, por lo que su funcionalidad depende de la combinación particular de módulos que su operador carga en cada uno de los sistemas afectados. Los módulos observados se utilizaron para fines de espionaje y reconocimiento (es decir, backdoor, extracción de archivos, captura de pantalla, registro de teclas, robo de contraseñas y credenciales, etc.). No se ha observado ningún módulo que se dirija específicamente a los sistemas de control industrial (ICS), sin embargo, han observado que los operadores de GreyEnergy han estado apuntando estratégicamente a las estaciones de trabajo de control ICS que ejecutan software y servidores SCADA, que tienden a ser sistemas de misión crítica que nunca deben desconectarse.

En comparación con BlackEnergy, GreyEnergy es un conjunto de herramientas más moderno con un enfoque aún más sigiloso. Una técnica de sigilo básica, empleada por ambas familias, es empujar solo los módulos seleccionados a los objetivos seleccionados, y solo cuando sea necesario. Además de eso, algunos módulos de GreyEnergy están parcialmente encriptados con AES-256 y algunos permanecen sin archivos, ejecutándose solo en la memoria, con la intención de impedir el análisis y la detección. Para cubrir sus huellas, por lo general, los operadores de GreyEnergy borran de forma segura los componentes de malware de los discos duros de las víctimas.