viernes, 2 de noviembre de 2018

BlackEnergy un nuevo malware multifunción


BlackEnergy es un malware multifunción que ha sido utilizado desde 2007 en ataques de tipo denegación de servicio y amenaza persistente avanzada.
Ahora de ESET, en una investigación, señala la presencia del sucesor de este malware apuntando a infraestructuras críticas, muy probablemente se encuentre en la etapa previa a la realización de un ataque.

En diciembre de 2015, cuando por primera vez en la historia un ciberataque fue el responsable de provocar un apagón, cerca de 230.000 personas quedaron sin electricidad, se detecta una infraestructura de malware a la que se bautizó como GreyEnergy. Desde ese entonces ha sido utilizada para atacar compañías de suministro de energía, así como también otros blancos de ataque de gran valor en países como Ucrania y Polonia a lo largo de los últimos tres años.

Según ESET la estructura del malware GreyEnergy es simililar a BlackEnergy, posee una construcción modular similar, así su destino final dependerá de la combinación de módulos que su operador decida incluir para cada uno de los sistemas de sus víctimas. Los módulos  observados fueron utilizados para propósitos de espionaje y reconocimiento (es decir: backdoor, extracción de archivos, realizar capturas de pantalla, keylogging, robo de contraseña y credenciales, etc). No se observa ningún módulo que haya apuntado a Sistemas de Control Industrial. Sin embargo, se observa que los operadores de GreyEnergy han estado dirigiéndose estratégicamente a estaciones de trabajo de Sistemas de Control Industrial que corren el software SCADA y servidores, los cuales tienden a ser sistemas esenciales que jamás se desconectan, salvo para tareas de mantenimiento.

ESET menciona que “además de las similitudes mencionadas con BlackEnergy, hemos observado otro vínculo entre GreyEnergy y este subgrupo de TeleBots. En diciembre de 2016 notamos una instancia de GreyEnergy desplegando una versión temprana del gusano NotPetya de TeleBots (medio año antes había sido alterado, mejorado y desplegado en los brotes de ransomware más dañinos de la historia)”.

“Existe una reutilización de código importante entre este componente de ransomware y el principal módulo de GreyEnergy. Llamamos a esta versión temprana "Moonraker Petya", basados en el nombre de archivo elegido por parte de quienes escribieron el malware –probablemente una referencia hacia la película de James Bond. Además, no presentaba el infame mecanismo de propagación EternalBlue, ya que no había sido filtrado hasta ese momento”.

No hay comentarios:

Publicar un comentario