VOLVER A NOTICIAS
Última Hora

Sandworm APT Ataca la Red Eléctrica Polaca con Malware de Borrado de Datos

3 min de lecturaFuente: SecurityWeek

Investigadores atribuyen un ciberataque a la red eléctrica de Polonia al grupo APT Sandworm, vinculado a Rusia, utilizando malware destructivo que amenaza infraestructuras críticas.

El Grupo APT Sandworm de Rusia Ataca la Red Eléctrica Polaca con Malware Destructivo

Investigadores en ciberseguridad han atribuido un reciente ciberataque a la red eléctrica de Polonia al grupo Sandworm, una sofisticada amenaza persistente avanzada (APT) de origen ruso. El ataque, que desplegó malware de borrado de datos, marca una preocupante escalada en las amenazas ciberfísicas a infraestructuras críticas, recordando el infame ataque de 2015 a la red eléctrica de Ucrania, que dejó a cientos de miles sin electricidad.

Detalles Técnicos del Ataque

Aunque las cepas específicas de malware y los vectores de ataque aún no han sido revelados, el incidente coincide con las tácticas, técnicas y procedimientos (TTPs) históricos de Sandworm. El grupo, vinculado a la agencia de inteligencia militar GRU de Rusia, ha desplegado previamente:

  • BlackEnergy (ataque a Ucrania en 2015)
  • Industroyer/CrashOverride (ataque a Ucrania en 2016, CVE-2016-5851)
  • NotPetya (malware de borrado global en 2017, CVE-2017-0144)

El ataque a la red eléctrica polaca sugiere el uso de malware de borrado (wiper malware) diseñado para corromper o eliminar datos, lo que podría interrumpir los sistemas de tecnología operativa (OT). A diferencia del ransomware, los wipers priorizan la destrucción sobre el beneficio económico, convirtiéndolos en una herramienta favorita para el sabotaje patrocinado por estados.

Impacto y Contexto Geopolítico

El momento del ataque coincide con el aumento de tensiones entre Rusia y las naciones alineadas con la OTAN, especialmente tras la invasión rusa de Ucrania. Polonia, un centro logístico clave para la ayuda militar occidental a Ucrania, ha sido un objetivo frecuente de las operaciones cibernéticas rusas. Este incidente subraya:

  • La infraestructura crítica como un objetivo de alto valor en la guerra híbrida moderna.
  • La línea difusa entre el ciberespionaje y los efectos cinéticos en campañas patrocinadas por estados.
  • El desafío de la atribución en ciberataques, donde las pruebas forenses suelen ser circunstanciales.

Recomendaciones para Operadores de Infraestructura Crítica

Los equipos de seguridad que gestionan redes eléctricas y otras infraestructuras críticas deberían:

  1. Mejorar la monitorización de amenazas específicas para OT, incluyendo tráfico de red anómalo o accesos no autorizados a sistemas de control industrial (ICS).
  2. Implementar una segmentación estricta entre redes de TI y OT para limitar el movimiento lateral.
  3. Desplegar soluciones de detección y respuesta en endpoints (EDR/XDR) adaptadas a entornos OT.
  4. Realizar ejercicios de mesa regulares para simular escenarios de ataques ciberfísicos.
  5. Revisar y actualizar los planes de respuesta a incidentes para contemplar malware de borrado y ataques destructivos.

El Equipo de Respuesta a Emergencias Informáticas de Polonia (CERT) y agencias internacionales de ciberseguridad están investigando el incidente. Es posible que surjan más detalles, incluyendo indicadores de compromiso (IOCs), a medida que avance el análisis forense.

Para actualizaciones continuas, sigue la cobertura de SecurityWeek.

Compartir

TwitterLinkedIn