Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Estudio del análisis de malware en SCI: BlackEnergy

Fecha de publicación 15/02/2024
Autor
INCIBE (INCIBE)
Imagen decorativa estudios de amenazas

Con el paso del tiempo se ha podido observar el gran crecimiento de ciberataques que están afectando a los entornos industriales y a los sistemas críticos. Esto se debe, en gran parte, a que se tratan de objetivos donde se puede obtener información muy delicada y causar problemas muy graves a las organizaciones, tanto en el aspecto económico, como el social.

Uno de los mejores ejemplos es el sector eléctrico. Dicho sector ha sufrido diferentes ciberataques de gran importancia, uno de los ciberataques más reconocidos fue a través del malware BlackEnergy.

Línea temporal BlackEnergy

- Línea Temporal BlackEnergy - 

El malware BlackEnergy se dio a conocer por ser capaz de comprometer varias distribuidoras eléctricas el 23 de diciembre de 2015 lo que provocó que los hogares de la región ucraniana de Ivano-Frankvisk (una población de alrededor de 1,5 millones de habitantes) estuviesen sin electricidad. Dicho malware no empezó con las mismas características que posee actualmente, sino que, debido a las nuevas tecnologías y necesidades, fue evolucionando. Esta evolución fue tan grande que al principio empezó siendo un troyano con las capacidades necesarias para crear botnes y realizar ataques DDoS (Distributed Denia of Service). Después, continuó mejorando con el uso de rootkits que permitían acceder al sistema de una forma imperceptible, continuando después con una evolución de con diversas mejoras hasta ser el APT (Advanced Persistant Threat), que todos conocen actualmente.

Por eso hay que intentar estar preparado ante dichos ciberataques, por si volvieran a producirse, para ello es recomendable realizar una serie de actividades que permita anticiparse y minimizar los daños causados sean considerables. Por ejemplo, investigar el comportamiento del malware al introducirse al sistema, la manera de introducción en los activos, características principales para poder detectarlo, etc.

Gracias a toda la información que se obtiene de las investigaciones se puede crear inteligencia, como, por ejemplo, reglas que ayuden a detectar el malware, creación de honeypots o deceptions específicos para que sean atacados con este malware en concreto y muchos más ejemplos que permitiría que el daño que producen este tipo de ciberataques se vaya reduciendo.

En el siguiente estudio abordan diferentes aspectos que permiten ayudar a mejorar la ciberseguridad sobre estos tipos de ciberataques, ya que se han documentado las diferentes formas de realizar un análisis de malware y se ha usado un ejemplo de análisis activo del malware BlackEnergy mediante Volatility.

Por último, también se incluyen los indicadores de compromiso (IOC) y las reglas Yara para este malware.

El estudio completo se puede descargar en el siguiente enlace: