Detectar el Malware Industroyer2 y CaddyWiper: Sandworm APT Ataca Instalaciones Eléctricas de Ucrania

CERT-UA en colaboración con Microsoft y ESET ha informado acerca del ciberataque a gran escala contra los proveedores de energía de Ucrania, marcando el segundo ataque de apagón eléctrico en la historia humana. Esta última actividad se atribuye al grupo APT Sandworm también rastreado como UAC-0082.

En este mismo ataque, los actores de amenazas utilizaron Industroyer2, la última muestra del infame malware Industroyer diseñado para atacar redes eléctricas que fue descubierto por los investigadores de ESET en junio de 2017. El ciberataque de 2017 se remonta a los apagones masivos inducidos por malware causados por el nefasto malware BlackEnergy diseñado para paralizar la infraestructura crítica de las compañías eléctricas de Ucrania.

En el último ciberataque a las instalaciones eléctricas de Ucrania, además del uso de la cepa de malware Industroyer, el grupo APT Sandworm también ha utilizado un infame borrador de datos apodado CaddyWiper. Este último es otro malware que borra datos que surgió rápidamente tras los ataques de HermeticWiper and WhisperGate dirigidos a organizaciones ucranianas.

Industroyer Recargado: Sandworm Despliega Industroyer2 para Paralizar la Red Eléctrica de Ucrania

CERT-UA, en colaboración con expertos en ciberseguridad de ESET y Microsoft, ha frustrado el masivo ciberataque contra los proveedores de energía de Ucrania. Es el segundo ataque de corte de energía en la historia humana que fue minuciosamente planificado por el grupo APT Sandworm respaldado por Rusia para interrumpir la infraestructura crítica de Ucrania.

Según el análisisde ESET, las acciones maliciosas fueron organizadas por hackers al menos dos semanas antes y el lanzamiento del ataque estaba programado para el 8 de abril de 2022. Los actores de amenazas de Sandworm planearon desplegar Industroyer2, el sucesor del infame malware Industroyer, para interrumpir las operaciones de las subestaciones eléctricas de alta tensión en Ucrania.

Además del malware capaz de ICS, los hackers utilizaron varias familias de borradores de datos. En particular, CERT-UA informa que el recientemente revelado CaddyWiper se aplicó contra computadoras personales, servidores y sistemas de control de procesos automatizados que ejecutan Windows OS. Para los sistemas basados en Linux, los atacantes utilizaron los scripts de borrado de datos RSHRED, SOLOSHRED y AWFULSHRED. Presumiblemente, los borradores fueron desplegados con la intención de borrar las trazas de Industroyer2 y complicar el retomar el control de las consolas de ICS para los operadores de la red eléctrica.

The Se sabe que el Grupo Sandworm ha sido atribuido a la Dirección Principal de Inteligencia del Estado Mayor General de Rusia (GRU) Centro Principal de Tecnologías Especiales (GTsST) unidad militar 74455. Entre 2015 y 2017, Sandworm atacó repetidamente la infraestructura crítica ucraniana utilizando las muestras infames de malware BlackEnergy e Industroyer. Las interrupciones en el rendimiento de la red eléctrica terminaron en apagones masivos en todo el país, marcando el primer caso en la historia humana en que una amenaza cibernética resultó en serios daños a los activos operacionales de la planta física. Más adelante, en 2017, el infame malware NotPetya fue aplicado por el grupo Sandworm para paralizar las instituciones bancarias de Ucrania. Este ciberataque evolucionó en una crisis global con millones de casos comprometidos y miles de millones de dólares en pérdidas. Posteriormente, en 2018, Rusia empleó otro malware devastador, VPNFilter, para atacar la Estación de Destilación de Cloro de Auly. Finalmente, múltiples ciberataques destructivos llevados a cabo por el grupo APT Sandworm tomaron fuerza en 2020-2021, con muchas instituciones gubernamentales y negocios atacados. Puedes explorar la cronología detallada de la guerra rusa aquí.

Detección de Industroyer2: Último Ataque por el grupo APT Sandworm

Los profesionales de seguridad pueden detectar posibles ciberataques incluyendo las cepas de malware Industroyer2 y CaddyWiper en su infraestructura con un conjunto de reglas Sigma curadas basadas en fuentes de registros de Windows y Linux:

Reglas Sigma para detectar ciberataques por el grupo APT Sandworm (UAC-0082)

Para simplificar la búsqueda de contenido de detección dedicado para la última actividad del grupo APT Sandworm (UAC-0082), todos los algoritmos de detección mencionados anteriormente están etiquetados como #UAC-0082.

Tenga en cuenta que solo los usuarios registrados pueden aprovechar estas detecciones de la plataforma de SOC Prime’s Detection as Code . Todas las reglas basadas en Sigma incluidas en este stack de detección están disponibles a través del rango de suscripción #Sigma2SaveLives como parte de más de 500 reglas adicionales contra APTs respaldados por el estado ruso. El 100% de los ingresos de cada suscripción se destina a la Fundación Come Back Alive de Ucrania.

Los profesionales de seguridad también pueden utilizar consultas de caza curadas del kit de reglas anterior para buscar instantáneamente amenazas cibernéticas vinculadas a Rusia con el módulo Quick Hunt de SOC Prime. Para obtener más detalles sobre cómo profundizar para buscar las últimas amenazas asociadas con el grupo APT Sandworm, consulte este tutorial en video.

Contexto de MITRE ATT&CK®

Para profundizar en el contexto del último ciberataque destructivo del grupo APT Sandworm/UAC-0082 dirigido a las instalaciones eléctricas de Ucrania, las reglas de detección basadas en Sigma están alineadas con la matriz MITRE ATT&CK v.10 abordando todas las tácticas y técnicas relevantes:

Los profesionales de seguridad también pueden consultar el siguiente archivo del Navegador ATT&CK con TTPs mapeados. Para más detalles, consulte aquí.