Compañías eléctricas de Ucrania sufren ciberataques
Investigadores de ESET atribuyen a los troyanos KillDisk y BlackEnergy el ataque sufrido por la planta de energía en la región de Ivano-Frankivsk, que se quedó sin electricidad durante varias horas. Otras compañías y ministerios ucranianos también fueron atacados.
ESET ha publicado los resultados de una investigación que ha desentrañado la conexión de los fallos sufridos por las compañías eléctricas de Ucrania el pasado mes de diciembre con las redes de ciberdelincuencia.
El 23 de diciembre, aproximadamente la mitad de la población de la región Ivano-Frankivsk, en el suroeste de Ucrania, se quedó sin electricidad durante varias horas, debido a un ataque dirigido a la compañía TSN. Los investigadores de ESET descubrieron que el corte de energía no era un incidente aislado, sino que otras compañías de distribución de electricidad estaban siendo atacadas por cibercriminales al mismo tiempo. Los ciberataques también afectaron a diversos ministerios del país.
Tras analizar el malware KillDisk utilizado en los ataques, los investigadores de ESET descubrieron que dicha variante incluía funcionalidades adicionales que permitían al troyano no sólo borrar archivos del sistema para evitar cualquier posibilidad de reinicio, sino que también portaba códigos específicos para sabotear sistemas industriales. Los delincuentes estaban utilizando el troyano de puerta trasera BlackEnergy para incorporar el componente KillDisk en los ordenadores afectados de forma que no pudieran reiniciarse. En los ataques primero se descargó el troyano destructivo KillDisk y luego se ejecutó en los sistemas previamente infectados con el troyano BlackEnergy.
“Además de las funcionalidades usuales de un troyano, KillDisk también intenta terminar procesos que pertenecen a una plataforma muy común en los sistemas de control industrial”, señala Anton Cherepanov, investigador de malware en ESET, que explica que “si los procesos se encuentran en el sistema afectado, el troyano no sólo los finalizará sino que sobreescribirá un archivo ejecutable en el disco duro con datos aleatorios, de forma que la restauración del sistema sea más compleja”.
“Nuestro análisis sobre el malware KillDisk indica que la herramienta que se utilizó de forma tan satisfactoria por los ciberdelincuentes en noviembre de 2015 también puede afectar a sistemas críticos”, concluye Cherepanov.
