Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Intento de ciberataque Ruso contra un proveedor de energía ucraniano


Descubierto un intento de ciber ataque con malware destructivo de actores estatales Rusos a infraestructura crítica de Ucrania . Industroyer2 es un malware de sistemas de control industrial (ICS) dirigido a proveedor de energía ucraniano



 El Equipo Gubernamental de Respuesta a Emergencias Informáticas de Ucrania, el CERT-UA, aseguró que esta variante de Industroyer se usó en "varios elementos de infraestructura" críticos en Ucrania, como subestaciones eléctricas de alto voltaje, equipos de red y servidores con Linux y ordenadores y equipos usados en estas mismas centrales.

  • La nueva versión del malware Industroyer capaz de afectar sistemas de control industrial se utilizó en ataque a una compañía de energía en Ucrania. 
  • El ataque utilizó un malware compatible con Sistemas de Control Industrial (ICS, por sus siglas en inglés) y wipers que eliminan información de discos en sistemas operativos Windows, Linux y Solaris.

Ucrania desvela un ciberataque a sus eléctricas

Ucrania sufrió un ataque con una nueva variante de un peligroso malware llamado Industroyer, distribuido por el grupo Sandworm, en este caso usado para intentar cortar el suministro eléctrico ucraniano.




En este caso se han involucrado la ESET y Microsoft. El CERT-UA ha explicado que la infraestructura energética de Ucrania "sufrió dos oleadas de ataques" y que los primeros indicios datan de febrero de 2022, justo en las semanas en las que comenzó la invasión. "La desconexión de las subestaciones eléctricas y el desmantelamiento de la infraestructura de la empresa estaban previstos para la noche del viernes 8 de abril".

Industroyer no ha sido la única arma usada en estos ataques. ya que se han usado otras variantes de malware como CaddyWiper, AWFULSHRED, SOLOSHRED y ORCSHRED. Lo más preocupante es que aunque la CERT-UA cree que los atacantes pudieron acceder a la red eléctrica creando "cadenas de túneles SSH", la ESET no está segura de cómo los atacantes comprometieron el sistema del Sistema de Control Industrial de la CERT-UA en primer lugar.

Victor Zhora, portavoz del gobierno de Ucrania, ha explicado que el ataque ha sido establecido para "inhabilitar una serie de instalaciones, incluidas las subestaciones eléctricas" y atribuye la autoría de estos ciberataques a Rusia. Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, aseguró que estaban colaborando con la CERT-UA.

CaddyWiper

La distribución y el lanzamiento centralizados de CADDYWIPER se implementan a través del Group Policy Mechanism (GPO). El script POWERGAP PowerShell se usó para agregar una política de grupo que descarga los componentes del destructor de archivos desde un controlador de dominio y crea una tarea programada en una computadora.  La capacidad de moverse horizontalmente entre segmentos de la red de área local se proporciona mediante la creación de cadenas de túneles SSH. IMPACKET se utiliza para la ejecución remota de comandos.

En coordinación con el despliegue de Industroyer2 en la red de un Sistema de Control Industrial (ICS), los atacantes desplegaron una nueva versión del malware destructivo CaddyWiper. Creemos que la intención era hacer más lento el proceso de recuperación y evitar que los operadores de la compañía de energía recuperaran el control de las consolas ICS. También se desplegó en la máquina donde se ejecutó Industroyer2, probablemente para borrar cualquier rastro del malware.

La primera versión de CaddyWiper fue descubierta por investigadores de ESET en Ucrania el 14 de marzo de 2022 cuando se desplegó en la red de un banco. Se desplegó a través de un objeto de política de grupo (GPO, por sus siglas en inglés), lo que indica que los atacantes tenían control previo de la red de la víctima. El wiper borra datos del usuario y la información almacenada en las particiones de las unidades conectadas, lo que hace que el sistema quede inoperable e irrecuperable.

Además de su uso de malware de limpieza destructivo, Rusia también implementó el nuevo malware Cyclops Blink como un medio para acceder a las redes de destino a través de dispositivos de firewall vulnerables y cooptarlos en una red de bots, aunque esto fue neutralizado a principios de abril por las autoridades estadounidenses y alemanas.

Fuentes:

https://www.welivesecurity.com/la-es/2022/04/12/industroyer2-nueva-version-malware-ataque-proveedor-energia-ucrania/

https://www.elespanol.com/omicrono/software/20220413/ucrania-ciberataque-electricas-ayuda-microsoft-eset/664683603_0.amp.html

https://cert.gov.ua/article/39518


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.