Detectar Malware Industroyer2 e CaddyWiper: Sandworm APT Ataca Instalações Elétricas Ucranianas

CERT-UA em colaboração com a Microsoft e a ESET recentemente relatou sobre o ataque cibernético em larga escala aos provedores de energia ucranianos, marcando o segundo ataque de apagão na história humana. Esta última atividade é atribuída ao grupo APT Sandworm associado à Rússia também rastreado como UAC-0082.

Neste ataque em particular, os atores da ameaça usaram o Industroyer2, o mais recente exemplo do infame malware Industroyer família projetada para atacar redes elétricas que foi descoberta pela primeira vez por pesquisadores da ESET em junho de 2017. O ataque cibernético de 2017 remonta aos apagões massivos induzidos por malware causados pelo nefasto malware BlackEnergy projetado para paralisar a infraestrutura crítica das empresas elétricas ucranianas.

No último ataque cibernético às instalações elétricas ucranianas, além do uso da cepa de malware Industroyer, o grupo APT Sandworm também utilizou um infame destruidor de dados chamado CaddyWiper. Este último é mais um malware de eliminação de dados que surgiu logo após os ataques HermeticWiper and e WhisperGate, visando organizações ucranianas.

Industroyer Reloaded: Sandworm Implanta Industroyer2 para Paralisar a Rede Elétrica Ucraniana

CERT-UA em colaboração com especialistas em cibersegurança da ESET e Microsoft conseguiram frustrar o grande ataque cibernético contra os provedores de energia ucranianos. É o segundo ataque de apagão na história humana que foi minuciosamente planejado pelo APT Sandworm, apoiado pela Rússia, para perturbar a infraestrutura crítica da Ucrânia.

De acordo com a análiseda ESET, as ações maliciosas foram organizadas pelos hackers pelo menos duas semanas de antecedência e o lançamento do ataque foi agendado para 8 de abril de 2022. Os atores da ameaça do Sandworm planejaram implantar o Industroyer2, o sucessor do infame malware Industroyer, para interromper as operações das subestações elétricas de alta tensão na Ucrânia.

Além do malware capaz de ICS, os hackers usaram várias famílias de wipers. Particularmente, a CERT-UA relata que recentemente revelado CaddyWiper foi aplicado em computadores pessoais, servidores e sistemas de controle de processos automatizados executando Windows OS. Para sistemas baseados em Linux, os atacantes usaram os scripts de eliminação de dados RSHRED, SOLOSHRED e AWFULSHRED. Presumivelmente, os wipers foram implantados com a intenção de apagar os rastros do Industroyer2 e dificultar o retomar do controle dos consoles ICS pelos operadores da rede elétrica.

The O Grupo Sandworm é reconhecido por estar atribuído à Diretoria Principal de Inteligência do Estado-Maior Geral da Rússia (GRU), no Centro Principal de Tecnologias Especiais (GTsST) da unidade militar 74455. Durante 2015-2017, o Sandworm atacou repetidamente a infraestrutura crítica ucraniana usando as amostras infames de malware BlackEnergy e Industroyer. As interrupções no desempenho da rede elétrica resultaram em apagões maciços em todo o país, marcando o primeiro caso na história humana em que uma ameaça cibernética causou danos sérios a ativos operacionais de plantas físicas. Além disso, em 2017 o infame malware NotPetya foi aplicado pelo grupo Sandworm para paralisar as instituições bancárias ucranianas. Este ataque cibernético evoluiu para uma crise global com milhões de instâncias comprometidas e bilhões de dólares em perdas. Posteriormente, em 2018, a Rússia utilizou outro malware devastador, VPNFilter, para atacar a Estação de Destilação de Cloro de Auly. E finalmente, múltiplos ataques cibernéticos destrutivos pelo APT Sandworm ganharam força em 2020-2021, com muitas instituições governamentais e empresas sendo atacadas. Você pode explorar a cronologia detalhada da guerra russa aqui.

Industroyer2 Detecção: Último Ataque pelo APT Sandworm

Os profissionais de segurança podem detectar possíveis ataques cibernéticos, incluindo as cepas de malware Industroyer2 e CaddyWiper em sua infraestrutura com um conjunto de regras Sigma curadas baseadas em fontes de logs do Windows e Linux:

Regras Sigma para detectar ataques cibernéticos do APT Sandworm (UAC-0082)

Para simplificar a busca por conteúdo dedicado de detecção para a atividade mais recente do APT Sandworm (UAC-0082), todos os algoritmos de detecção referidos acima são marcados como #UAC-0082.

Por favor, note que apenas usuários registrados podem aproveitar essas detecções da plataforma Detection as Code da SOC Prime . Todas as regras baseadas em Sigma incluídas neste conjunto de detecção estão disponíveis através do leque de assinaturas #Sigma2SaveLives como parte de mais de 500 regras bônus contra APTs apoiados pelo estado russo. 100% da receita de cada assinatura comprada vai para a Fundação Ucraniana Come Back Alive.

Os profissionais de segurança também podem aproveitar as consultas de caça curadas do kit de regras acima para buscar instantaneamente ameaças cibernéticas relacionadas à Rússia com o módulo Quick Hunt da SOC Prime. Para mais detalhes sobre como aprofundar a busca pelas ameaças mais recentes associadas ao grupo APT Sandworm, por favor, consulte este tutorial em vídeo.

Contexto MITRE ATT&CK®

Para mergulhar no contexto do mais recente ataque cibernético destrutivo do grupo APT Sandworm/UAC-0082 que visa instalações elétricas ucranianas, as regras de detecção baseadas em Sigma dedicadas estão alinhadas com a matriz MITRE ATT&CK v.10 abordando todas as táticas e técnicas relevantes:

Os profissionais de segurança também podem conferir o seguinte arquivo ATT&CK Navigator com TTPs mapeados. Para mais detalhes, por favor, consulte aqui.