Conexión entre los dos poderosos cibercriminales TeleBots e Industroyer

Discovery Lab Demos Telebot Prototype

Recientemente se ha revelado el resultado de una investigación que apunta a que existiría conexión entre los conocidos grupos cibercriminales TeleBots e Industroyer. Esta revelación ha estado en manos de ESET,  el mayor fabricante de software de seguridad de la Unión Europea.

Las evidencias descubiertas aportan indicios para conocer más sobre estos malware denominados como los más poderosos descubiertos hasta el momento, pues apuntan a infraestructuras críticas. Y es que han sido responsables de los cortes en el suministro eléctrico de la principal región de Ucrania en 2016, así como otros grandes ataques en 2017.

En la publicación se explica que TeleBots ya ha demostrado su potencial con otra de sus creaciones conocida como NotPetya. Se trata de un malware de borrado de disco que, simulando ser un ransomware, interrumpió la actividad de las empresas a escala mundial en 2017.

Los tentáculos de este grupo de ciberdelincuentes organizados también parecen tener vínculos con BlackEnergy, otro malware que ataca infraestructuras críticas y que ya ha provocado cortes en el sistema eléctrico ucraniano en 2015. Para los expertos, eso fue un anticipo de lo que pasaría un año después a escala mayor con Industroyer.

Anton Cherepanov, investigador de ESET encargado de dirigir las averiguaciones sobre Industroyer y NotPetya, ha explicado que las especulaciones sobre la conexión entre Industroyer y el grupo TeleBots surgieron poco después de que el malware golpease Ucrania, sin embargo, ninguna evidencia entre ambos había sido reconocida públicamente hasta ahora.

ESET descubrió en abril de 2018 las nuevas actividades del grupo de ciberdelincuentes cuando los criminales desarrollaron un nuevo backdoor que la compañía de ciberseguridad detectó como Exaramel. Los analistas concluyeron en ese entonces que este backdoor era una versión mejorada de Industroyer y, por lo tanto, la primera evidencia de la conexión entre el grupo y el ataque.

“El descubrimiento de Exaramel demuestra que el grupo TeleBots permanece activo hoy en día y los atacantes siguen mejorando sus herramientas y tácticas. Nosotros continuaremos monitorizando su actividad para proteger a nuestros usuarios”, concluyó el investigador.

La empresa ha dejado claro que sus investigadores describen los ciberataques y los seguimientos a los grupos de cibercriminales, así como sus conexiones, basados en indicadores técnicos como coincidencias en el código, infraestructuras de comando y control, cadenas de ejecución de malware y otras evidencias técnicas.

“ESET no está vinculado a investigaciones en el terrero de la legalidad vigente ni atribuye las acciones descritas a ningún estado en particular”, se especifica en el comunicado de prensa.

Investigaciones de ESET

Hay que recordar que la compañía de ciberseguridad sitió al grupo de ciberdelincuentes TeleBots detrás de la amenaza similar a Petya, en julio de 2017
ESET identificó varias posibilidades sobre el origen de la amenaza con características similares a Petya que asoló el mundo empresarial una semana antes de su anuncio.

Las investigaciones realizadas por la compañía descubrieron similitudes entre múltiples campañas ejecutadas por el ciberdelincuente ucraniano TeleBots y el conjunto de herramientas utilizadas entre diciembre de 2016 y marzo de 2017 por este grupo, relacionadas con el ataque Diskcoder.C o también conocido como Petya, que tuvo lugar el 27 de junio de 2017.

Anton Cherepanov, investigador senior para malware en ESET, afirmó en ese entonces que los paralelismos encontrados entre el ataque en diciembre de 2016 contra instituciones financieras y los desarrollos de una versión del malware KillDisk para Linux, utilizada por TeleBots, eran una pista fiable.

“Estos indicadores, junto a los ataques crecientes a los sistemas informáticos en Ucrania, son los que nos hicieron centrar nuestra atención en TeleBots”, explicó Cherepanov.

En un comunicado la compañía detalló que la forma de operar de TeleBots consistía en utilizar KillDisk para sobrescribir archivos con extensiones específicas en los discos de las víctimas. El rescate no era el objetivo primordial de los atacantes, ya que no se cifraban los archivos, sino que se sobrescribían.

“Los ataques siguientes sí incluyeron el cifrado de archivos y se incorporaron otros aspectos más típicos del ransomware, como información de contacto para pagar el rescate, aunque se solicitaban cifras astronómicas (222 bitcoines) que, de nuevo, hacían pensar que el objetivo real era causar daños a las empresas afectadas, más que obtener beneficios económicos”.

Entre enero y marzo de 2017 los delincuentes19 también comprometieron la seguridad de una compañía desarrolladora de software de contabilidad en Ucrania, utilizando túneles VPN y accediendo a las redes internas de diferentes entidades financieras, revelando así un arsenal de herramientas programadas en Python.

Ya a mediados de ese año lanzaron sus ataques utilizando herramientas legítimas como SysInternals PsExec y WMIC (Windows Management Instrumentation Command-line) para propagarse por una red local utilizando credenciales extraídas de equipos infectados.

“Las soluciones de seguridad de ESET detectaron este ransomware como Win32/Filecoder.NKH y al ransomware de Linux como Python/Filecoder.R”, de acuerdo a la publicación.

Los análisis de ESET determinaron además que los cibercriminales autores de Diskcoder.C conseguían modificar el Registro de Arranque Principal (Master Boot Record MBR) de forma que la recuperación de archivos no fuera posible, al contrario que en el ransomware original Petya.

“A pesar de que se ofrecía información sobre el pago necesario, ahora sabemos que dichos datos no servían de nada. Una vez que el malware se ejecuta, intenta distribuirse utilizando el exploit EternalBlue, aprovechándose también del exploit DoublePulsar. Curiosamente se trata de un método similar al utilizado por WannaCry, aunque en este caso no fuera el único utilizado por los atacantes”.