ARTICULO DEL 3.7.2014 SOBRE VIRUS HAVEX QUE AFECTA A LAS EMPRESAS DE GENERACION DE ENERGIA QUE USAN SISTEMAS SCADA.

Igual que en su día con el STUXNET, actualmente se ha detectado una oleada de ataques en empresas que usan sistemas SCADA (Supervisión,Control y Adquisición de Datos) usabdo puerta trasera con el “mbcheck.dll” (Para ello utilizan dos herramientas principales, Backdoor Oldrea y Trojan Karagany.)

Este nuevo virus informático es capaz de hundir la red eléctrica de naciones enteras

Investigadores en el campo de la seguridad han descubierto un nuevo malware tipo Stuxnet, llamado “Havex”, que fue utilizado en una serie de ataques cibernéticos contra organizaciones del sector energético.

Al igual que el conocido virus Stuxnet, que fue especialmente diseñado para sabotear el proyecto nuclear iraní, el nuevo troyano Havex también está programado para infectar softwares de sistemas de control industrial de sistemas SCADA (Supervisión,Control y Adquisición de Datos. Software que permite controlar y supervisar procesos industriales a distancia) y ICS (Internet Connection Sharing o Conexión Compartida a Internet) , con la capacidad de desactivar posiblemente presas hidroeléctricas, sobrecargar centrales nucleares e incluso con la capacidad de apagar la red eléctrica de todo un país con sólo pulsar una tecla.

Según la firma de seguridad F-Secure, que fue la primera en descubrirlo, se trata de un troyano de acceso remoto genérico (RAT) y, recientemente, se ha utilizado para llevar a cabo espionaje industrial contra empresas en Europa que utilizan o desarrollan aplicaciones industriales y maquinaria.

Para conseguirlo, además de utilizar métodos de infección tradicionales como exploit kits y correos electrónicos spam, los cibercriminales también utilizaron otro método eficaz para difundir el troyano Havex, hackeando los sitios web de compañías de software y esperando a que se conectaran los futuros objetivos a ellas para instalar en sus equipos versiones legítimas de los programas infectados con el troyano.

Durante la instalación, la configuración del software infectado libera un archivo denominado “mbcheck.dll”, que es en realidad el malware Havex, que los atacantes utilizan como puerta trasera.

¿MOTIVACIÓN?
La motivación de los creadores del troyano Havex aún no está clara, aunque según indican los investigadores de F-Secure:
“Nosotros identificamos un componente adicional utilizado por los atacantes que incluye código para cosechar datos de equipos que utilizan sistemas ICS / SCADA. Esto indica que los atacantes no sólo están interesados ​​en poner en peligro las redes de las empresas que atacan, sino que también tratan de hacerse con el control de los sistemas ICS / SCADA de esas organizaciones”

POSIBLE ORIGEN RUSO DEL VIRUS
En enero de este año, la firma de ciberseguridad CrowdStrike reveló una campaña de espionaje cibernético, conocida como “Energetic Bear”, donde hackers posiblemente vinculados a la Federación Rusa penetraron las redes informáticas de empresas energéticas de Europa, Estados Unidos y Asia.

Según CrowdStrike, los malwares utilizados en esos ataques cibernéticos eran Havex RAT y Sysmain RAT. Asimismo concluyeron que Havex RAT, es posiblemente una versión más reciente del virus Sysmain RAT. Ambas herramientas han sido utilizadas por hackers al menos desde 2011.

Eso significa que posiblemente Havex RAT esté vinculado a hackers rusos, o incluso haya sido patrocinado por el propio gobierno ruso como herramienta de ciber-espionaje.
Información original en http://govtslaves.info/stuxnet-like-virus-hits-european-power-plants-shutdown-nations-grid-keystroke/

El actual actualisis de Virustotal sobre una muestra del fichero MBCHECK.DLL, ofrece el siguiente informe:

MD5 1d6b11f85debdda27e873662e721289e
SHA1 7f249736efc0c31c44e96fb72c1efcc028857ac7
Tamaño del fichero 1.1 MB ( 1141478 bytes )
SHA256: 0b74282d9c03affb25bbecf28d5155c582e246f0ce21be27b75504f1779707f5
Nombre: 0b74282d9c03affb25bbecf28d5155c582e246f0ce21be27b75504f1779707f5-…
Detecciones: 38 / 53
Fecha de análisis: 2014-07-03 06:42:12 UTC ( hace 3 horas, 33 minutos )
0 4
Antivirus Resultado Actualización
AVG Dropper.Generic_c.WWH 20140703
Ad-Aware Dropped:Trojan.Generic.11277511 20140703
AhnLab-V3 Dropper/Win32.Havex 20140702
AntiVir TR/Drop.Injector.kcnn 20140703
Avast NSIS:Havex-A [Drp] 20140703
Baidu-International Trojan.Win32.Injector.aF 20140702
BitDefender Dropped:Trojan.Generic.11277511 20140703
CAT-QuickHeal TrojanDropper.Injector.g5 20140703
Commtouch W32/Bublik.EIJE-7887 20140703
Comodo UnclassifiedMalware 20140703
DrWeb Trojan.DownLoader11.18781 20140703
ESET-NOD32 a variant of Win32/Gertref.E 20140703
Emsisoft Dropped:Trojan.Generic.11277511 (B) 20140703
F-Prot W32/Bublik.X 20140703
F-Secure Backdoor:W32/Havex.A 20140703
Fortinet W32/Bublik.CLGX!tr 20140703
GData Dropped:Trojan.Generic.11277511 20140703
Ikarus Trojan.Bublik 20140703
K7AntiVirus Riskware ( 0040f0f51 ) 20140702
K7GW Riskware ( 0040f0f51 ) 20140702
Kaspersky Trojan-Dropper.Win32.Injector.kcnn 20140703
McAfee Artemis!1D6B11F85DEB 20140703
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.S 20140702
MicroWorld-eScan Dropped:Trojan.Generic.11277511 20140703
Microsoft Backdoor:Win32/Havex.B 20140703
Norman Havex.B 20140703
Panda Trj/OCJ.E 20140702
Qihoo-360 HEUR/Malware.QVM20.Gen 20140703
Sophos Troj/Drop-HE 20140703
Symantec Backdoor.Oldrea 20140703
Tencent Win32.Trojan-dropper.Injector.Eaed 20140703
TrendMicro BKDR_HAVEX.A 20140703
TrendMicro-HouseCall BKDR_HAVEX.A 20140703
VBA32 Trojan.Bublik 20140702
VIPRE Trojan.Win32.Generic.pak!cobra 20140703
ViRobot Dropper.S.Agent.1141478 20140703
Zillya Dropper.Injector.Win32.62065 20140701
nProtect Trojan/W32.Havex.1141478 20140702
MUY IMPORTANTE CONFIGURAR A NIVEL ALTO LA SENSIBILIDAD DEL ANALISIS HEURISTICO EN LA CONSOLA DEL VIRUSCAN
saludos

ms, 3-7-2014