SandWorm, los hackers de APT detrás de NotPetya e Industroyer

SandWorm es uno de los grupos de amenazas persistentes avanzadas (APT) más infames. Sus actividades se remontan a 2009 y ha estado involucrado en numerosos ataques contra entidades y naciones que se oponen a Rusia. Los expertos en ciberseguridad creen que el grupo SandWorm APT podría ser una subdivisión del GRU, la unidad de inteligencia militar de Rusia. En campañas anteriores, los piratas informáticos SandWorm también han sido mencionados con los alias Iron Viking, Telebots y otros.

En los últimos años, SandWorm ha aparecido en las noticias innumerables veces, con el uso de malware novedoso y destructivo que se usó en ataques cuidadosamente orquestados. Uno de los implantes más infames con los que está asociado SandWorm es NotPetya Ransomware, una de las primeras amenazas que tiene como objetivo dañar el Master Boot Record (MBR) en lugar de archivos individuales. Al eliminar el MBR de los discos duros, NotPetya Ransomware aseguró que los sistemas comprometidos no pudieran arrancar en absoluto.

El malware destructivo parece ser la especialidad de SandWorm, y también son responsables del uso de otros limpiadores de alto perfil como Olympic Destroyer e Industroyer. El primero estuvo involucrado en un ciberataque que tuvo lugar durante la apertura de los Juegos Olímpicos de Invierno de 2018. Mientras tanto, Industroyer es un implante malicioso diseñado específicamente para atacar los sistemas de control industrial (ICS) utilizados en las instalaciones de la red eléctrica. Los piratas informáticos SandWorm emplearon a Industroyer en ataques contra la red eléctrica ucraniana en 2016.

Las últimas noticias de SandWorm están asociadas con Industroyer2, un sucesor del infame implante que usaron en 2016. Los piratas informáticos de SandWorm lo emplearon en abril de 2022, en otro ataque contra la red eléctrica ucraniana. El objetivo de la operación era provocar un apagón, como el que los hackers lograron orquestar en diciembre de 2015.