Una puerta trasera similar vincula los dos mayores ciberataques a nivel mundial: NotPetya e Industroyer

Contraseña
PIXABAY - Archivo
Publicado 13/10/2018 11:29:35CET

   MADRID, 13 Oct. (Portaltic/EP) -

   La firma de ciberseguridad ESET ha encontrado paralelismos entre la actividad del grupo de criminales TeleBots, creadores del falso 'ransomware' NotPetya, y el programa malicioso Industroyer, que afectó a una central de energía ucraniana en 2016, lo que permite conectar a los ciberdelincuentes con la autoría del 'malware' debido al uso de una puerta trasera similar.

   En una publicación en el blog de seguridad WeLive Security, de ESET, los analistas Anton Cherepanov y Robert Lipovsky han detallado las similitudes encontradas entre la forma de acceso que utilizaban los programas maliciosos NotPetya e Industroyer, utilizados para producir serios ataques a infraestructuras críticas de organizaciones industriales.

   La conexión entre ambos programas se estableció después de hallar una puerta trasera desarrollada por TeleBots, detectada por ESET como Exaramel, la cual, según los expertos de la compañía, era una versión mejorada de Industroyer, el 'malware' utilizado en el ataque a una central energética en Ucrania en el año 2016, el cual dejó una región del país sin electricidad.

   El 'malware' NotPetya, también conocido como Expetr, fue creado por TeleBots y utilizado en un ciberataque a escala mundial a finales de junio de 2017. Este es un programa que se encarga de borrar partes del disco duro que infecta. La conexión entre ambos se basa en la secuencia de código utilizada para penetrar en los dispositivos y así burlar los algoritmos de seguridad.

   ESET también conecta a TeleBots con el programa malicioso BadEnergy, dirigido de la misma forma que Industroyer para atacar infraestructuras industriales, el cual provocó cortes en el sistema eléctrico ucraniano ya en el año 2015.

   ESET defiende que el descubrimiento de Exaramel es la primera evidencia pública de esta conexión, y según ha explicado Cherepanov, encargado de las investigaciones sobre Industroyer y NotPetya, "demuestra que el grupo TeleBots permanece activo hoy en día y los atacantes siguen mejorando sus herramientas y tácticas".