La compañía de detección proactiva de malware ESET ha publicado las conclusiones de una investigación en la que se pone de manifiesto que los fallos sufridos por las compañías eléctricas de Ucrania el pasado mes de diciembre fueron causados por unos ciberataques que también afectaron a diversos ministerios del país.

Tras analizar el malware KillDisk utilizado en los ataques, los investigadores de ESET descubrieron que la nueva variante del malware incluía funcionalidades adicionales que tenían como objetivo sabotear sistemas industriales.

Historia del ataque

El pasado 23 de diciembre, aproximadamente la mitad de la población de la región Ivano-Frankivsk, en el suroeste de Ucrania, se quedó sin electricidad durante varias horas. Los investigadores de ESET descubrieron que el corte de energía a la compañía TSN no era un incidente aislado y que otras compañías de distribución de electricidad estaban siendo atacadas por cibercriminales al mismo tiempo.

Según las investigaciones de ESET, los delincuentes estaban utilizando el troyano de puerta trasera BlackEnergy para incorporar el componente KillDisk en los ordenadores afectados de forma que no pudieran reiniciarse.

El troyano de puerta trasera BlackEnergy es modular y emplea diferentes componentes descargables para realizar tareas específicas. Mientras que los principales objetivos de los ataques de 2014 parecían tener que ver con el espionaje –con ataques de alto perfil a diferentes sedes del gobierno ucraniano–, en los recientes ataques contra las empresas de distribución de electricidad en Ucrania primero se descargó el troyano destructivo KillDisk y luego se ejecutó en los sistemas previamente infectados con el troyano BlackEnergy.

La primera conexión entre BlackEnergy y KillDisk fue denunciada por la Secretaría de Ciberseguridad del Gobierno de Ucrania, CERT-UA, en noviembre de 2015. En ese momento, varias compañías habían sido atacadas durante las elecciones locales en el país y, debido al ataque, se habían destruido documentos gubernamentales y material grabado en vídeo.

La variante utilizada en los últimos ataques contra las compañías eléctricas del país incluía funcionalidades adicionales que permitían al troyano no sólo borrar archivos del sistema para evitar cualquier posibilidad de reinicio –algo común en los troyanos más destructivos–, sino que también portaba códigos específicos para sabotear sistemas industriales.

“Además de las funcionalidades usuales de un troyano, KillDisk también intenta terminar procesos que pertenecen a una plataforma muy común en los sistemas de control industrial”, explica Anton Cherepanov, investigador de malware en ESET.

Si los procesos se encuentran en el sistema afectado, el troyano no sólo los finalizará sino que sobreescribirá un archivo ejecutable en el disco duro con datos aleatorios, de forma que la restauración del sistema sea más compleja.

“Nuestro análisis sobre el malware KillDisk indica que la herramienta que se utilizó de forma tan satisfactoria por los ciberdelincuentes en noviembre de 2015 también puede afectar a sistemas críticos”, concluye Cherepanov.