En diciembre de 2015, un grupo asociado al cibercrimen atacó centrales eléctricas de Ucrania, dejando sin electricidad a más de 230.000 personas. Este es uno de los ejemplos de amenazas contra infraestructuras críticas que más se recuerdan en los foros de ciberseguridad. Y no es para menos, porque se trata de un ataque que tuvo éxito, de entre los muchos que se producen constantemente, y cada vez más.
Dicho grupo, denominado BlackEnergy, ha sido vinculado con el desarrollo de herramientas para atentar contra objetivos críticos y otras amenazas como VPNFilter, en los que medio millón de dispositivos fueron infectados. Ahora, tienen un nuevo sucesor: GreyEnergy. Así lo ha hecho saber el equipo de laboratorio del fabricante de seguridad ESET.
Este grupo cibercriminal «tiene como objetivo el espionaje y el reconocimiento de posibles víctimas, muy probablemente en preparación de nuevos cibersabotajes», apuntan desde ESET, explicando que ya detectaron indicios de este grupo durante las investigaciones de los apagones de Ucrania.
Los investigadores están seguros de que se encuentran trabajando en sus siguientes acciones, preparando el próximo ataque masivo contra objetivos críticos.
“Hemos comprobado cómo GreyEnergy ha estado involucrado en ataques a compañías eléctricas y a otros objetivos sensibles tanto en Ucrania como en Polonia en los últimos tres años”. Así lo asegura Anton Cherepanov, el analista de ESET que ha llevado a cabo la investigación. Pero no están solos.
El investigador alerta de que este nuevo grupo no solo tiene vínculos con BlackEnergy, sino también con otro grupo denominado Telebots. Estos últimos han sido apuntados como los responsable el pasado año de NotPetya, un malware que literalmente limpiaba los discos duros de las compañías a las que atacaba.
De hecho, Telebots podría estar detrás de un segundo apagón masivo en Ucrania, que tuvo lugar en 2016, después del descrito al comienzo.
BlackEnergy, GreyEnergy y Telebots: tres nombres para un mismo objetivo
Estos tres grupos ligados al cibercrimen cuentan con similitudes en la forma en la que desarrollan sus ataques, así como en las actividades que realizan: espionaje mediante backdoors (puertas traseras), robo de archivos, pantallazos, keylogging (captura de las pulsaciones del teclado) o robo de credenciales y contraseñas.
Y por supuesto, en sus objetivos: sistemas críticos e industriales, donde la información es valiosa y los posibles efectos pueden llegar a ser demoledores.