La firma de ciberseguridad ESET ha encontrado paralelismos entre la actividad del grupo de criminales TeleBots, creadores del «ransomware» NotPetya, y el programa malicioso Industroyer, que afectó a una central de energía ucraniana en 2016, lo que permite conectar a los ciberdelincuentes con la autoría del «malware» debido al uso de una puerta trasera similar.

En una publicación en el blog de seguridad WeLive Security, de ESET, los analistas Anton Cherepanov y Robert Lipovsky han detallado las similitudes encontradas entre la forma de acceso que utilizaban los programas maliciosos NotPetya e Industroyer, utilizados para producir serios ataques a infraestructuras críticas de organizaciones industriales.

La conexión entre ambos programas se estableció después de hallar una puerta trasera desarrollada por TeleBots, detectada por ESET como Exaramel, la cual, según los expertos de la compañía, era una versión mejorada de Industroyer, el «malware» utilizado en el ataque a una central energética en Ucrania en el año 2016, el cual dejó una región del país sin electricidad.

El «malware» NotPetya, también conocido como Expetr, fue creado por TeleBots y utilizado en un ciberataque a escala mundial a finales de junio de 2017. Este es un programa que se encarga de borrar partes del disco duro que infecta. La conexión entre ambos se basa en la secuencia de código utilizada para penetrar en los dispositivos y así burlar los algoritmos de seguridad.

La firma también conecta a TeleBots con el programa malicioso BadEnergy, dirigido de la misma forma que Industroyer para atacar infraestructuras industriales, …