Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Malware INDUSTROYER2 utilizado contra suministrador energético de Ucrania

Fecha de publicación 29/04/2022

Investigadores de ESET, en colaboración con CERT-UA, analizaron un incidente de seguridad que afectó a un proveedor de energía en Ucrania. Sus conclusiones fueron que el malware es una nueva variante adaptada de INDUSTROYER, al cual denominaron INDUSTROYER2, utilizado por el grupo de APT Sandworm, y que fue dirigido a un único objetivo y un caso de uso.

Además de INDUSTROYER2, Sandworm utilizó varias familias de malware como CaddyWiper (wipper desplegado para hacer más lento el proceso de recuperación y evitar que los operadores de la compañía de energía recuperasen el control, y borrar cualquier rastro de INDUSTROYER2), ORCSHRED, SOLOSHRED y AWFULSHRED (estos 3 últimos dirigidos a equipos Linux y Solaris). Esta nueva versión INDUSTROYER2 fue compilada dos semanas antes de su uso, elimina funcionalidades previas y se centra únicamente en el protocolo industrial IEC-104.