• 21 octubre, 2018

Descubren nuevo grupo de ciberespionaje

Descubren nuevo grupo de ciberespionaje

Este grupo es responsable de cortar la energía a una ciudad entera, cuenta con un nuevo arsenal de herramientas y posiblemente esté preparando nuevos ataques cibernéticos

La compañía ESET descubrió los detalles de un sucesor del grupo BlackEnergy APT. Nombrado GreyEnergy por ESET, este actor de amenazas se centra en el espionaje y el reconocimiento, y posiblemente este en preparación para futuros ataques de cibersabotaje.

«Hemos visto a GreyEnergy involucrado en ataques contra compañías de energía y otros objetivos de alto valor en los últimos tres años», dice Anton Cherepanov, investigador principal de seguridad de ESET que dirigió la investigación. El ataque de 2015 a la infraestructura energética de Ucrania fue la operación más reciente conocida donde se usó el conjunto de herramientas BlackEnergy y causó un apagón que dejó a 230.000 personas sin electricidad. Posteriormente, los investigadores de ESET documentaron un nuevo subgrupo de APT, TeleBots.

Los ataques relacionados con TeleBots son más notables por el brote mundial de NotPetya, el malware de borrado de disco que interrumpió las operaciones comerciales globales en 2017 y causó daños en la suma de miles de millones de dólares. Como confirmaron recientemente los investigadores de ESET, los ataques de TeleBots también están conectados a Industroyer, el malware moderno más poderoso dirigido a los sistemas de control industrial.

Según el exhaustivo análisis de ESET, el malware GreyEnergy está estrechamente relacionado con el malware BlackEnergy y TeleBots. Su construcción es modular, por lo que su funcionalidad depende de la combinación particular de módulos que su operador carga a los sistemas de la víctima. Los módulos descritos en el análisis de ESET se utilizaron para fines de espionaje y reconocimiento e incluyen: acceso remoto a los sistemas, extracción de archivos, captura de pantalla, registro de teclas, contraseña y robo de credenciales, etc.

“No hemos observado ningún módulo que se dirija específicamente al software o los dispositivos de Industrial Control Systems (ICS). Sin embargo, hemos observado que los operadores de GreyEnergy han estado apuntando estratégicamente a las estaciones de trabajo de control ICS que ejecutan software y servidores SCADA”, explica Anton Cherepanov.

La divulgación y el análisis de ESET de GreyEnergy es importante para una protección exitosa contra este actor de amenazas en particular; por esta razón la compañía pone a disposición de todos los usuarios a nivel global los Indicadores de Compromiso (IoC) conocidos de esta amenaza para que puedan proteger sus infraestructuras. Además, es la mejor manera para comprender mejor las tácticas, herramientas y procedimientos de los grupos APT más avanzados.

Etiquetas: ataque cibernético / dispositivos / ESET Latinoamérica / GreyEnergy / grupo BlackEnergy APT / software

Recomendaciones sobre este tema

¿Qué es la huella digital y por qué prestarle atención?

¿Qué es la huella digital y por qué prestarle atención?

Nuestra huella en el mundo online puede ser rastreada fácilmente y ser usada en delitos y estafas. ESET,…
¿Qué riesgos puede traer Apple Vision Pro?

¿Qué riesgos puede traer Apple Vision Pro?

El nuevo dispositivo de Apple que promete revolucionar la forma en que se ve el mundo ya está…
El FMI revela que en febrero detectó un ataque cibernético en sus sistemas informáticos

El FMI revela que en febrero detectó un ataque cibernético en sus sistemas informáticos

El FMI mantuvo en reserva los nombres de los usuarios de las cuentas afectadas o sus cargos.