BlackEnergy es un malware multifunción que ha sido utilizado
desde 2007 en ataques de tipo denegación de servicio y amenaza persistente
avanzada.
Ahora de ESET, en una investigación, señala la presencia del sucesor de este
malware apuntando a infraestructuras críticas, muy probablemente se encuentre en
la etapa previa a la realización de un ataque.
En diciembre de 2015, cuando por primera vez en la historia
un ciberataque fue el responsable de provocar un apagón, cerca de 230.000
personas quedaron sin electricidad, se detecta una infraestructura de malware a
la que se bautizó como GreyEnergy. Desde ese entonces ha sido utilizada para
atacar compañías de suministro de energía, así como también otros blancos de
ataque de gran valor en países como Ucrania y Polonia a lo largo de los últimos
tres años.
Según ESET la estructura del malware GreyEnergy es simililar
a BlackEnergy, posee una construcción modular similar, así su destino final dependerá
de la combinación de módulos que su operador decida incluir para cada uno de
los sistemas de sus víctimas. Los módulos observados fueron utilizados para propósitos
de espionaje y reconocimiento (es decir: backdoor, extracción de archivos,
realizar capturas de pantalla, keylogging, robo de contraseña y credenciales,
etc). No se observa ningún módulo que haya apuntado a Sistemas de Control
Industrial. Sin embargo, se observa que los operadores de GreyEnergy han estado
dirigiéndose estratégicamente a estaciones de trabajo de Sistemas de Control
Industrial que corren el software SCADA y servidores, los cuales tienden a ser
sistemas esenciales que jamás se desconectan, salvo para tareas de
mantenimiento.
ESET menciona que “además de las similitudes mencionadas con
BlackEnergy, hemos observado otro vínculo entre GreyEnergy y este subgrupo de
TeleBots. En diciembre de 2016 notamos una instancia de GreyEnergy desplegando
una versión temprana del gusano NotPetya de TeleBots (medio año antes había
sido alterado, mejorado y desplegado en los brotes de ransomware más dañinos de
la historia)”.
“Existe una reutilización de código importante entre este
componente de ransomware y el principal módulo de GreyEnergy. Llamamos a esta
versión temprana «Moonraker Petya», basados en el nombre de archivo
elegido por parte de quienes escribieron el malware –probablemente una
referencia hacia la película de James Bond. Además, no presentaba el infame
mecanismo de propagación EternalBlue, ya que no había sido filtrado hasta ese
momento”.