I ricercatori ESET, il più il più grande produttore di software per la sicurezza digitale dell’Unione Europea, hanno scoperto che il blackout che lo scorso 23 dicembre ha lasciato senza elettricità circa 700.000 persone in Ucraina non era un fenomeno isolato e che contemporaneamente, sempre in Ucraina, erano state attaccate dai cybercriminali altre aziende fornitrici di energia. I criminali hanno usato la backdoor BlackEnergy per inserire la componente KillDisk nei computer colpiti, in modo che non potessero più essere riavviati.
Il trojan BlackEnergy con funzionalità backdoor è un malware modulare che può scaricare vari componenti per completare specifiche attività. Nel 2014 è stato usato per una serie di attacchi di cyber spionaggio verso bersagli di alto profilo legati al governo ucraino. Nei recenti attacchi alle compagnie di distribuzione di energia elettrica, su dei sistemi precedentemente infettati da BlackEnergy è stata scaricata ed eseguita la nuova componente KillDisk, che ha avuto effetti devastanti.
Il primo collegamento noto tra BlackEnergy e KillDisk era stato riportato dall’agenzia di sicurezza informatica ucraina, CERT-UA, nel Novembre del 2015. In quell’occasione furono attaccati diversi media proprio in concomitanza con le elezioni locali ucraine del 2015. Nel rapporto si afferma che a causa dell’attacco furono distrutti tantissimi materiali video e vari documenti.
La variante di KillDisk utilizzata nei recenti attacchi contro le aziende ucraine fornitrici di energia conteneva anche ulteriori funzionalità. Oltre a poter eliminare i file di sistema per impedirne il riavvio – funzionalità tipica dei trojan distruttivi- questa particolare variante conteneva un codice ideato specificamente per sabotare i sistemi industriali, tentando di chiudere i processi legati alle piattaforme comunemente usate proprio nei sistemi di controllo industriale. La nuova componente era in grado, una volta chiusi i sistemi, di sovrascriverà il file eseguibile sull’hardisk con dei dati a caso, per rendere maggiormente complicato il ripristino del sistema stesso.
Le analisi sul malware KillDisk dei ricercatori di ESET indicano che questo stesso strumento utilizzato con successo negli attacchi contro i media ucraini nel Novembre del 2015 ora è teoricamente in grado di spegnere dei sistemi critici.
Per maggiori informazioni sull’attacco alle compagnie di distribuzione energetica Ucraine e sul malware BlackEnergy/KillDisk visitate il blog WeLiveSecurity di ESET al link http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/ ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Smart Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it