Sicurezza: il malware di GreyEnergy colpisce le infrastrutture critiche

L’area EMEA è la più colpita a livello globale dagli attacchi alle API che prendono di mira il settore del commercio

I ricercatori ESET hanno rivelano l’esistenza di un nuovo gruppo di cyber spionaggio che potrebbe succedere a BlackEnergy

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato GreyEnergy, una nuova minaccia utilizzata negli ultimi tre anni in attacchi a società energetiche e ad altri obiettivi di alto valore in Ucraina e Polonia. Riconducibile ai successori del gruppo BlackEnergy, questo attore di minacce si concentra sullo spionaggio e sulla ricognizione, probabilmente in preparazione di futuri attacchi di cyber sabotaggio.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il malware di GreyEnergy

GreyEnergy è comparso insieme a TeleBots ma a differenza del suo cugino più noto, non opera solo in Ucraina e finora non è stato pericoloso. Secondo l’analisi approfondita di ESET, il malware di GreyEnergy è strettamente legato a quello di BlackEnergy e di TeleBots. È strutturato in maniera modulare, quindi le sue funzionalità dipendono dalla particolare combinazione dei moduli caricati dall’operatore nei sistemi della vittima. I moduli descritti nell’analisi di ESET sono stati utilizzati per scopi di spionaggio e ricognizione e comprendono backdoor, estrazione di file, acquisizione di schermate, keylogging, password, furto di credenziali ed altro ancora.

BlackEnergy ha terrorizzato l’Ucraina per anni ed è balzato agli onori della cronaca nel dicembre 2015 quando ha causato un blackout che ha lasciato 230mila persone senza elettricità, nel primo evento di questo tipo causato da un attacco informatico. Contemporaneamente al verificarsi di questo incidente rivoluzionario, i ricercatori di ESET hanno iniziato a rilevare un’altra struttura per la diffusione di malware e l’hanno chiamata GreyEnergy.

TeleBots

L’attacco del 2015 alle infrastrutture energetiche ucraine è l’ultima operazione conosciuta in cui è stato utilizzato il set di strumenti BlackEnergy. Successivamente, i ricercatori ESET hanno documentato un nuovo sottogruppo APT, TeleBots, famoso per la diffusione globale di NotPetya, il malware che cancella il disco e che ha interrotto le transazioni commerciali globali nel 2017, causando danni per miliardi di dollari USA. I ricercatori di ESET hanno recentemente confermato che TeleBots era collegato anche all’Industroyer, il potente e innovativo malware che ha come obiettivo i sistemi di controllo industriale e che si è reso colpevole del secondo blackout elettrico nella capitale ucraina, Kiev, nel 2016.

Leggi anche:  Stormshield sigla partnership con Bitdefender e consolida la sua visione di una cybersicurezza europea affidabile

La scoperta e l’analisi di GreyEnergy da parte di ESET è importante per una difesa efficace contro questo particolare attore di minacce e per una migliore comprensione delle tattiche, degli strumenti e delle procedure dei gruppi APT più avanzati.