El malware no deja de evolucionar y obtener nuevas funcionalidades. Los investigadores de seguridad de Mandiant han identificado una nueva variante que ha sido diseñada para interrumpir los sistemas industriales. Ha sido bautizada como 'CosmicEnergy'.
Según recooge Bleeping Computer, se dirige específicamente a las unidades terminales remotas (RTU) compatibles con IEC-104 que se usan comúnmente en operaciones de transmisión y distribución eléctrica en Europa, Medio Oriente y Asia.
Desde Mandiant sospechan que la creación de este malware se atribuye al equipo ruso de ciberseguridad Rostelecom-Solar, antes llamado Solar Security.
"Aunque no hemos identificado evidencia suficiente para determinar el origen o el propósito de CosmicEnergy, creemos que el malware posiblemente fue desarrollado por Rostelecom-Solar o una parte asociada para recrear escenarios de ataque reales contra los activos de la red de energía", dijo Mandiant .
"Dado que los actores de amenazas usan herramientas de equipo rojo y marcos de explotación pública para actividades de amenazas específicas en la naturaleza, creemos que CosmicEnergy representa una amenaza plausible para los activos de la red eléctrica afectados".
CosmicEnergy fue descubierto después de que alguien desde una dirección IP rusa subiera una muestra a la plataforma de análisis de malware VirusTotal en diciembre de 2021.
Esta muestra revela que el malware comparte similitudes con malware OT anterior, como Industroyer e Industroyer.V2, ambos usados para ataques contra proveedores de energía ucranianos entre 2016 y abril de 2022.
Una oleada de malware
La invasión de Rusia a Ucrania trajo consigo un incremento de las familias de malware por parte de los ciberdelincuentes rusos y los ataques destructivos contra objetivos ucranianos.
El listado incluye a WhisperGate/WhisperKill, FoxBlade (también conocido como HermeticWiper), SonicVote (también llamado HermeticRansom ), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (o IsaacWiper ) y FiberLake (también conocido como DoubleZero).
Sandworm, grupo de piratas informáticos rusos usaron el malware Industroyer2 para atacar la red ICS de un destacado proveedor de energía ucraniano, pero no lograron desmantelar sus subestaciones eléctricas de alto voltaje ni interrumpir el suministro de energía en todo el país.