Mandiant informa que se está observando un nuevo malware de tecnología operativa (OT) especializado con el nombre COSMICENERGY. El malware tiene como objetivo las unidades terminales remotas (RTU) y podría causar cortes de energía.
Según Mandiant, el malware COSMICENERGY está diseñado para provocar cortes de energía. Para hacer esto, el malware interactúa con unidades terminales remotas (RTU), que se usan comúnmente para la transmisión y distribución de energía en Europa, Asia y Medio Oriente.
Distribuidores de energía europeos en riesgo
Mandiant sospecha que un contratista de la firma rusa de ciberseguridad Rostelecom-Solar pudo haber desarrollado el malware como parte de una herramienta de equipo rojo para simular cortes de energía. Según fuentes públicas, Rostelecom-Solar recibió subsidios del gobierno ruso en 2019. Esto fue para capacitar a expertos en seguridad cibernética y realizar simulacros sobre cortes de energía y respuesta a emergencias.
Con los actores de amenazas que utilizan las herramientas de Red Team y los marcos de explotación pública para lanzar ataques cibernéticos dirigidos en la naturaleza, Mandiant cree que COSMICENERGY representa una "amenaza razonable para los activos de energía afectados".
El análisis del malware y su funcionamiento muestra los siguientes resultados:
- COSMICENERGY es similar a las características observadas en INDUSTROYER e INDUSTROYER.V2.
- COSMICENERGY comparte claras similitudes técnicas con otras familias de malware OT como IRONGATE, TRITON e INCONTROLLER.
- Estas observaciones sugieren que las barreras de entrada para las amenazas ofensivas de OT se están reduciendo.
Mandiant ofrece una publicación de blog en inglés sobre el tema.
Más en Mandiant.com
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.