NotPetya vinculado al ataque Industroyer contra infraestructura energética en Ucrania

Share this…

Tres de los incidentes más destructivos vistos en la ciberseguridad moderna son obra de una misma APT

El 2017 se presentó el brote masivo del ransomware NotPetya que paralizó las operaciones de organizaciones en todo el mundo. Aparentemente, este ransomware tiene vínculos directos con el backdoor Industroyer, que se dirige a los sistemas de control industrial (ICS) y derribó la red eléctrica ucraniana en Kiev en 2016, reportan especialistas en forense digital.

De hecho, los mismos actores maliciosos, un grupo de hackers conocido como TeleBots, parece estar detrás de los ataques de BlackEnergy a Ucrania en 2015, que provocaron apagones masivos, del mismo modo que el ataque de Industroyer un año después.

NotPetya se desató en junio del año pasado, y al principio se creía que era otro ataque global de ransomware, similar al brote de WannaCry, pero resultó ser un limpiador disfrazado de ransomware. Si bien el malware tiene componentes de ransomware, NotPetya no puede restaurar los archivos de las víctimas, incluso si se realiza el pago por el rescate.

Notpetya cobró miles de víctimas en todo el mundo, incluidas las empresas de más alto perfil en su área, proveedores de infraestructura crítica y organizaciones de servicios financieros, atacando a gigantes como la compañía farmacéutica Merck, o a Maersk, la compañía naviera más importante del mundo.

Según Anton Cherepanov y Robert Lipovsky, expertos en forense digital, el malware BlackEnergy, responsable de los apagones de 2015 en Ucrania, contiene el mismo componente de encriptación KillDisk visto en el malware NotPetya, que es un sello distintivo del grupo TeleBots.

“En la etapa final de sus ataques, el grupo TeleBots siempre usó el malware KillDisk para sobrescribir archivos con extensiones de archivo específicas en las unidades de almacenamiento de las víctimas”, reportaron los expertos. También descubrieron que el brote comenzó a propagarse desde las compañías afectadas por un backdoor de TeleBots, después de comprometer el software financiero M.E.Doc, ampliamente utilizado en Ucrania.

Por su parte, Industroyer fue el código utilizado en los ataques contra la red eléctrica ucraniana en diciembre de 2016. Tanto Industroyer como BlackEnergy atacaron las mismas redes ucranianas. No existía evidencia sólida que vincule a los dos con el mismo APT hasta que los investigadores descubrieron importantes similitudes en el código, vinculándolos con TeleBots a través del análisis de un reciente backdoor.

De hecho, el malware más recientemente desarrollado por TeleBots, denominado Win32/Exaramel, parece ser una versión mejorada del backdoor Industroyer. Fue detectado mientras atacaba una organización en Ucrania, extrayendo información. Win32/Exaramel copia archivos, los comprime y encripta automáticamente y los envía al servidor de comando y control (C2).

Analizado a detalle, el código de Win32/Exaramel muestra la estrecha relación que guarda con Industroyer.

Por un lado, el backdoor Win32/Exaramel se implementa inicialmente gracias a un dropper, lo que inicia un servicio de Windows llamado “wsmprovav”, con la descripción “Windows Check AV”.

“Los atacantes están agrupando a sus posibles víctimas según las soluciones de seguridad que utilizan”, dijeron los investigadores de en un aviso de seguridad. “Se puede encontrar un comportamiento similar en el conjunto de herramientas de Industroyer; específicamente, algunos de los backdoors de Industroyer también se disfrazaron como un servicio relacionado con AV, implementado con el nombre avtask.exe, y se usó la misma agrupación”.

Aunque los encargados de la investigación prefirieron no afirmar que estos ataques son financiados por algún gobierno, expertos en forense digital del Instituto Internacional de Seguridad Cibernética consideran que estos ataques podrían ser atribuibles a las agencias de inteligencia rusas.