Ciberataque coordinado a la red eléctrica de Ucrania

A comienzos de mes informábamos de los problemas eléctricos en Ucrania debidos, supuestamente, a los cibercriminales.

El incidente ha sido clasificado ahora por el Instituto SANS como un “ataque coordinado a la red eléctrica ucraniana”.

Sin embargo, al contrario de lo que se informaba en algunos medios, los cortes en el suministro no parecen ser consecuencia del malware, según afirma el director del SANS ICS, Michael J. Assante.

El informe del SANS sostiene que los atacantes usaron malware para acceder a sus objetivos y tomar el control, y que ese deliberadamente destructivo malware, también se use para impedir la recuperación de los equipos.

A pesar de todo, SANS cuestiona la conclusión que ese malware, conocido como “BlackEnergy”, y su componente asociado KillDisk, estuvieran directamente involucrados en el ataque, aunque se encontraran en los sistemas.

La campaña de malware relacionada con BlackEnergy “tiene sólidas conexiones con el incidente” dijo Assante, pero “estamos en los primeros pasos del análisis para poder concluir que el malware encontrado estaba relacionado con el incidente”.

Es decir, si has sufrido una filtración en tus sistemas, y después has encontrado un malware, no significa que uno provocara el otro, puede ser que el incidente se produjera por otra vulnerabilidad de tus sistemas.

Es más, según Assante, casi con toda seguridad KillDisk no fue la causa de los cortes de suministro ocurridos en Ucrania.

Por ahora tampoco es posible asignar la autoría a ningún grupo de cibercriminales o nación (no hay ninguna prueba de que esto sea parte de una ciberguerra).

Lo que está claro es que las compañías eléctricas, ahora más que nunca, deben estar preparadas para un ciberataque.

Assante elogió a los técnicos por responder rápidamente al fallo en el suministro al cambiar al “modo manual” para restaurar el servicio y devolver la corriente eléctrica a los usuarios afectados en pocas horas.

Como dijo Assante, SANS y el sector eléctrico deben aprender de este incidente el cómo detectar, responder y recobrarse de un ciberataque, porque ahora los ataques coordinados son una amenaza plausible.

¿Qué podemos aprender el resto de nosotros?

Pese a que este ha sido un ataque dirigido, sería un error que alguien crea que no debe tomar medidas de seguridad porque soy demasiado insignificante para que se fijen en mí.

Los ciberdelincuentes no van a realizar un ataque dirigido a ti, pero pueden emplear técnicas automáticas que busquen víctimas vulnerables en un espectro muy amplio, por lo que es fácil que te acaben encontrando.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: