Investigadores de ciberseguridad han descubierto un nuevo malware peligroso diseñado para interrumpir sistemas como redes de energía u otra infraestructura crítica.
Los expertos de Mandiant llamaron al malware CosmicEnergy y creen que es similar al Sandworm descubierto anteriormente. Sandworm es un notorio malware patrocinado por el estado ruso que fue diseñado para apuntar a las redes eléctricas de Ucrania en 2016.
La diferencia clave entre CosmicEnergy y Sandworm es que el primero no se descubrió después de un incidente de seguridad, sino a través de la búsqueda de amenazas. Alguien de Rusia subió el malware a VirusTotal hace un año y medio, que es donde los investigadores de Mandiant lo recogieron.
Desarrollado para entrenamiento
Aparentemente, el malware fue desarrollado por Rostelecom-Solar, el departamento de ciberseguridad de Rostelecom, el operador nacional de telecomunicaciones de Rusia.
La conclusión inicial es que el malware se diseñó con fines de capacitación, probablemente para educar al departamento de TI sobre cómo comportarse en caso de que ocurra un ataque real a la red. Los investigadores dijeron que una de esas capacitaciones se realizó en colaboración con el Ministerio de Energía de Rusia en 2021.
«Un contratista puede haberlo desarrollado como una herramienta de equipo rojo para ejercicios de interrupción de energía simulados organizados por Rostelecom-Solar», afirman los investigadores. «Sin embargo, dada la falta de evidencia concluyente, también consideramos posible que un actor diferente, ya sea con o sin permiso: código reutilizado asociado con el rango cibernético para desarrollar este malware”.
Aún así, dadas las funcionalidades de CosmicEnergy, los investigadores no pueden excluir la posibilidad de que el malware pueda usarse en un ataque real.
En cualquier caso, el malware no se vio en la naturaleza, dijeron los investigadores. TechCrunch. También le dijeron a la publicación que el malware «carece de capacidades de descubrimiento», lo que significa que los actores de amenazas primero tendrían que reconocer la red comprometida en busca de direcciones IP y credenciales, antes de poder montar un ataque.
“El descubrimiento de nuevos OT [operational technology] El malware presenta una amenaza inmediata para las organizaciones afectadas, ya que estos descubrimientos son raros y porque el malware se aprovecha principalmente de las características inseguras de diseño de los entornos OT que es poco probable que se solucionen en el corto plazo”, concluyeron los investigadores.
Vía: TechCrunch