El malware BlackEnergy es un programa criminal que se ha convertido en una herramienta de Amenazas Persistentes Avanzadas (APT) y se está utilizando en operaciones geopolíticas significativas que se han documentado de forma superficial durante el año pasado. Algunas características interesantes de BlackEnergy son su capacidad de personalizar complementos (plugins) para atacar plataformas ARM y MIPS, sus scripts para dispositivos de red CISCO, sus plugins destructivos y su ladrón de certificados, entre otras. Es difícil conseguir datos sobre esta APT, pero aquí presentaremos los que tenemos disponibles. También compartiremos información nueva sobre los objetivos de los ataques y datos verídicos sobre el perfil de sus víctimas.
Estos atacantes se esfuerzan por esconder y defender su presencia a largo plazo en los ambientes comprometidos para quedarse el mayor tiempo posible. La magnitud del programa, que no se había descrito, puso a sus víctimas ante nuevos retos técnicos en entornos inusuales, incluyendo redes SCADA. Los desafíos, que incluyen mitigar el movimiento lateral de los atacantes entre los routers de las redes comprometidas, pueden superar la rutina de defensa de una organización y llevarla a territorio desconocido.
Breve historia
BlackEnergy2 y BlackEnergy3 son herramientas conocidas. Al principio, los cibercriminales usaban los complementos personalizados de BlackEnergy para lanzar ataques DDoS. No se sabe cuántos grupos tienen esta herramienta. Después, BlackEnergy2 comenzó a descargar más complementos criminales: uno de spam personalizado y otro para robar información bancaria. Con el tiempo, BlackEnergy2 se integró al paquete de herramientas del actor BE2/Sandworm. Otro grupo criminal sigue usando BlackEnergy para lanzar ataques DDoS, pero parece que el APT BE2 ha usado esta herramienta sólo en 2014 para atacar sitios web e incluyó complementos personalizados y scripts propios. Vale la pena aclarar que nosotros llamamos BE2 APT a este actor, mientras que otros se refieren a él como “Sandworm Team”.
Plugins y archivos de configuración
Antes de que se descubrieran evidencias del uso de BlackEnergy2 en ataques dirigidos, nos dedicamos a seguir los rastros de actividades sospechosas de los servidores de Comando y Control de BlackEnergy en 2013. Los valores que mostraban los archivos de configuración más recientes de BlackEnergy no nos inspiraban confianza. Como describió Dmitry en su análisis de sobre Black DDoS en 2010, se descarga un archivo de configuración del servidor por main.dll a un sistema infectado. El archivo de configuración ofrece instrucciones de descarga para el cargador. También ordena al cargador que le dé algunas órdenes a los plugins. En este caso particular de 2013, el archivo de configuración incluía un grupo de plugins desconocido además de la habitual lista de plugins ‘ddos’. Abajo mostramos los nuevos nombres de plugin con formato xml “weap_hwi”, “ps” y “vsnet” en un archivo de configuración BlackEnergy descargado de un servidor c2. El nuevo módulo debe haber sido uno de los primeros en compartirse de este grupo, porque todas sus versiones estaban registradas como “versión 1”, incluyendo el plugin ddos:
Archivo de configuración descargado del servidor BE2
El plugin ‘ps’ resultó ser un ladrón de contraseñas. El plugin ‘vsnet’ tenía la función de propagar y ejecutar una carga explosiva (que en su momento era el propio dropper BlackEnergy2) en la red local usando PsExec y de conseguir información básica del ordenador del usuario y su red.
Todavía más sorprendente fue el plugin ‘weap_hwi’. Era una herramienta ddos compilada para ejecutarse en sistemas ARM:
Plugin Weap_hwi
Al principio, no sabíamos si el plugin ARM estaba en la lista de forma intencional o por error, así que nos pusimos a recolectar los archivos de configuración del centro de Comando y Control. Después de haber conseguido varios archivos de configuración, confirmamos que no se había incluído este objeto ARM por error. Era seguro que el servidor compartía archivos de configuración que no sólo eran para Windows, sino también para la plataforma ARM/MIPS. , el módulo ARM se distribuyó mediante el mismo servidor y procesó el mismo archivo de configuración.
Plugins Linux
Con el tiempo, logramos recolectar varios plugins y el módulo principal de las arquitecturas ARM y MIPS. Todos estos archivos con códigos objeto ARM/MIPS se compilaron desde la misma fuente y después se compartieron en un solo archivo de configuración: “weap_msl”, “weap_mps”, “nm_hwi”, “nm_mps”, “weap_hwi” y “nm_msl”. Nos parece interesante que los desarrolladores BE2 hayan promovido el plugin ddos a la versión 2, junto con los plugins nm_hwi, nm_mps y nm_msl. Lanzaron de forma simultánea la versión 5 de los plugins weap_msl, weap_mps y weap_hmi. Lo más probable es que esas asignaciones no hayan sido arbitrarias, ya que este grupo había desarrollado BlackEnergy2 por varios años de un modo profesional y organizado:
Configuración con un grupo similar de plugins para diferentes arquitecturas
A continuación presentamos una lista de los archivos que conseguimos y sus funcionalidades:
weap | Ataque DDoS (varios tipos) |
ps | Ladrón de contraseñas que gestiona una variedad de protocolos de red (SMTP, POP3, IMAP, HTTP, FTP, Telnet) |
nm | Analiza puertos, almacena banners |
snif | Registra IPs de origen y destino, puertos TCP/UDP |
hook | Módulo principal: Comunicación de comando y control, configuración del analizador sintáctico, cargador de plugins |
uper | Reescribe el módulo gancho con una nueva versión y la ejecuta |
Errores gramaticales y de ortografía en los plugins Weap, Snif y Nm
El estilo de codificación del módulo varía según se trate del módulo principal ‘Hook’, los plugins y la main.dll de Windows. El módulo principal de hook tenía cadenas de caracteres cifradas y manejaba todas las llamadas de funciones y cadenas de caracteres como referencias en una gran estructura. La ofuscación de esta estructura puede haber sido para reescribir el código y mejorarlo, pero también para complicar el análisis. Sea cual fuere la razón, es probable que diferentes individuos hayan desarrollado los códigos de los diferentes plugins. Por lo tanto, BE2 debe tener su propio pequeño equipo de desarrolladores de plugins y plataformas múltiples.
Estructura del módulo Hook
Después de haber cifrado las cadenas de caracteres, fue más obvio que el módulo principal de Linux Hook se comunicaba con el mismo servidor de Comando y Control que otros módulos de Windows:
Dirección IP del centro de Comando y Control del módulo de Linux
Este módulo de Linux puede procesar los siguientes comandos, algunos de los cuales se parecen a los de la versión de Windows:
die | Eliminar todos los archivos de BlackEnergy2 y rastros del sistema |
kill | Eliminar todos los archivos de BlackEnergy2 y rastros del sistema. Después, reiniciar el equipo |
lexec | Ejecutar un comando usando bin/sh |
rexec | Descargar y ejecutar un archivo usando ‘fork/exec’ |
update | Reescribir el mismo archivo |
migrate | Actualizar el servidor C&C |
Plugins de Windows
Después de la divulgación de un extraño servidor de Comando y Control que propagaba los plugins de Linux y el nuevo de Windows, comenzamos a prestar más atención a los nuevos ejemplares BE2 y servidores C&C relacionados.
Durante un periodo largo, logramos conseguir muchos plugins de Windows de diferentes servidores C&C, sin darnos cuenta de que los complementos de Linux se estaban descargando como describimos antes. Parece que el equipo de BE2/SandWorm protegía sus servidores almacenando las herramientas y plugins para hackers que no eran de Windows en servidores o carpetas de servidores separadas. Por último, cada servidor de Comando y Control almacenaba un grupo de complementos diferente, lo que significa que cada servidor está dirigido a víctimas diferentes y emplea plugins específicos para satisfacer sus necesidades del momento. Esta es la lista de todos los plugins conocidos hasta ahora:
fs | Busca tipos de archivo específicos, consigue información primaria del sistema y red |
ps | Ladrón de contraseñas de varios orígenes |
ss | Toma capturas de pantalla |
vsnet | Propaga cargas explosivas en la red local (utiliza psexec, accede a los sectores de administrador), recibe información primaria del sistema y red |
rd | Escritorio remoto |
scan | Analiza los puertos de un alojamiento específico |
grc | Realiza copias de seguridad de canales mediante plus.google.com |
jn | Infector de archivos (locales, compartidos, dispositivos removibles). Su carga explosiva se descarga del servidor de Comando y Control |
cert | Ladrón de certificados |
sn | Registra el tráfico, extrae las contraseñas de inicio de sesión de diferentes protocolos (HTTP, LDAP, FTP, POP3, IMAP, Telnet ) |
tv | Establece el hash de contraseñas en el registro para TeamViewer |
prx | Servidor proxy |
dstr | Destruye el disco duro al sobreescribirlo con datos al azar (en el nivel de aplicación y de driver) en un momento determinado |
kl | Capturador del teclado |
upd | Servicio para actualizar archivos BE2 |
usb | Recolecta información sobre USBs conectados (ID de instancia de dispositivo, geometría de disco) |
bios | Recolecta información de BIOS, tarjeta madre, procesador, OS |
Estamos bastante seguros de que nuestra lista de herramientas BE2 no está completa. Por ejemplo, no hemos obtenido todavía el plugin de acceso al router, pero tenemos la certeza de que existe. La evidencia también indica que existe un plugin de descifrado para archivos víctima (ver abajo).
Nuestra colección actual representa las capacidades de los atacantes de BE2 con bastante fidelidad. Algunos complementos se mantienen misteriosos y su propósito todavía no es claro, como ‘usb’ y ‘bios’. ¿Por qué necesitarían los atacantes información sobre características usb y bios? Parece que, en base a dispositivos USB y BIOS específicos, los atacantes podrían subir plugins específicos para realizar acciones adicionales. Tal vez algunas sean destructivas o expandan todavía más las infecciones. Aun no lo sabemos.
También es interesante hablar de otro plugin: ‘grc’. En algunos archivos de configuración BE2, podemos percatarnos de un valor de tipo “gid”:
Número addr en la configuración
Este número identifica el servicio plus.google.com y el complemento ‘grc’ lo utiliza para realizar análisis sintácticos de html. Después, descarga y descifra un archivo PNG. Se supone que el PNG descifrado contiene una nueva dirección CNC, pero nunca observamos ninguna. Hemos detectado dos identidades de Google Plus relacionadas. La primera, plus.google.com/115125387226417117030/, contiene una cantidad anormal de visitas. Hasta ahora, alcanzaba los 75 millones:
Perfil de Plus de BE2
La segunda, plus.google.com/116769597454024178039/posts, por ahora se mantiene en la cifra más modesta de las 5.000 visitas. Se han eliminado todas las publicaciones de esa cuenta.
Comandos rastreados
Al observar el servidor de comando y control “router-PC” que describimos arriba, rastreamos los siguientes comandos que se propagaron en el archivo de configuración antes de que se desconectara el servidor. A continuación, las diferentes acciones que hemos observado:
u ps | Iniciar robo de contraseñas (Windows) |
Ps_mps/ps_hwi start | Iniciar robo de contraseñas (Linux, MIPS, ARM) |
uper_mps/uper_hwi start | Reescribir el módulo gancho con una nueva versión y ejecutarla (Linux, MIPS, ARM) |
Nm_mps/nm_hwi startš –ban -middle | Analizar puertos y recuperar banners en la subred del router (Linux, MIPS, ARM) |
U fsget * 7 *.docx, *.pdf, *.doc * |
Buscar documentos con tipos de archivos específicos (Windows) |
S sinfo | Buscar información sobre programas instalados y ejecutar comandos: systeminfo, tasklist, ipconfig, netstat, route table, trace route to google.com (Windows) |
weap_mps/weap_hwi host188.128.123.52 port[25,26,110,465,995]š typetcpconnect | DDoS a 188.128.123.52 (Linux, MIPS, ARM) |
weap_mps/weap_hwiš typesynflood port80 cnt100000 spdmedium host212.175.109.10 | DDoS a 212.175.109.10 (Linux, MIPS, ARM) |
Los comandos para los complementos de Linux indican que los atacantes controlaban dispositivos MIPS/ARM. Queremos profundizar en los comandos DDoS diseñados para estos routers. 188.128.123.52 pertenece al Ministerio de Defensa de Rusia y 212.175.109.10 al sitio web gubernamental del Ministerio del Interior de Turquía. Aunque muchos investigadores sospechan que un cibercriminal ruso es responsable de BE2, a juzgar por las actividades que hemos encontrado y el perfil de las víctimas, no está claro cuáles son sus intereses.
Al observar otros C&Cs y conseguir archivos de configuración, nos topamos con algunos extraños errores y erratas. Están resaltados en la imagen de abajo:
Errores del archivo de configuración de BE2
En primer lugar, estos errores sugieren que los atacantes de BE2 editan estos archivos de configuración de forma manual. En segundo lugar, demuestran que hasta los hackers más avanzados cometen errores.
Comando y Control de código permanente
Los contenidos de los archivos de configuración en sí mismos son muy interesantes. Todos tienen una devolución de llamada c2 con una dirección IP permanente (hardcoded), algunos tienen recesos y otros los comandos que se publicaron arriba. Esta es una lista de las direcciones IP de código permanente, la dirección del dueño y la ubicación geofísica del anfitrión:
Dirección IP C2 | Dueño | País |
184.22.205.194 | hostnoc.net | US |
5.79.80.166 | Leaseweb | NL |
46.165.222.28 | Leaseweb | NL |
95.211.122.36 | Leaseweb | NL |
46.165.222.101 | Leaseweb | NL |
46.165.222.6 | Leaseweb | NL |
89.149.223.205 | Leaseweb | NL |
85.17.94.134 | Leaseweb | NL |
46.4.28.218 | Hetzner | DE |
78.46.40.239 | Hetzner | DE |
95.143.193.182 | Serverconnect | SE |
188.227.176.74 | Redstation | GB |
93.170.127.100 | Nadym | RU |
37.220.34.56 | Yisp | NL |
194.28.172.58 | Besthosting.ua | UA |
124.217.253.10 | PIRADIUS | MY |
84.19.161.123 | Keyweb | DE |
109.236.88.12 | worldstream.nl | NL |
212.124.110.62 | digitalone.com | US |
5.61.38.31 | 3nt.com | DE |
5.255.87.39 | serverius.com | NL |
Llama la atención que uno de estos servidores es un nodo de salida de Tor. Los archivos de configuración que conseguimos también indican que el grupo actualizó sus comunicaciones de malware de texto simple http a cifrado https en octubre de 2013.
Objetivos y víctimas de BE2
La distribución geográfica de las víctimas de BlackEnergy2 es muy extensa. Hemos identificado objetivos y víctimas de BlackEnergy2 en los siguientes países, a partir de finales de 2013. Es posible que no sean los únicos.
- Rusia
- Ucrania
- Polonia
- Lituania
- Bielorrusia
- Azerbaiyán
- Kirguistán
- Kazajistán
- Irán
- Israel
- Turquía
- Libia
- Kuwait
- Taiwán
- Vietnam
- India
- Croacia
- Alemania
- Bélgica
- Suecia
Los perfiles de las víctimas indican que existe un interés por expandirse en Sistemas de Control Industrial (ICS):
- dueños de sitios de generación de energía
- construcción de instalaciones de energía
- operadores de generadores de energía
- grandes fabricantes y distribuidores de materiales relacionados con la energía
- inversores
Pero la lista también incluye organizaciones gubernamentales, de tecnología y de posesión de propiedades:
- gobiernos de alto nivel
- otras infraestructuras de Sistemas de Control Industrial
- agencias federales de posesión de tierras
- oficinas municipales
- servicios federales de emergencia
- laboratorios de medición y evaluación de la tierra y el espacio
- cuerpos de estándares nacionales
- bancos
- transportes de alto nivel tecnológico
- investigaciones académicas
Las víctimas
Conseguimos información sobre los perfiles de algunas víctimas importantes de BE2 a mediados de 2014. A continuación, presentamos algunos de los incidentes de BE2 más interesantes.
Víctima #1
Los atacantes de BE2 lograron comprometer a una organización con con un exploit para el que todavía no hay un CVE, y está disponible un módulo metasploit. El correo electrónico que utilizaron para atacar a sus víctimas contenía un ZIP con un archivo EXE en su interior que a simple vista no parecía un ejecutable. El archivo zip manipulado explotaba una vulnerabilidad en WinRAR que hace que los archivos comprimidos ZIP aparezcan con un nombre y extensión falsos.
Ejemplo de ataque dirigido de BE2
El archivo ejecutable adjunto era un programa “parecido a BlackEnergy” al que los investigadores comenzaron a referirse como “BlackEnergy3 – los delincuentes lo utilizan junto con BlackEnergy2. Kaspersky Lab detecta al programa malicioso “BlackEnergy3” como Backdoor.Win32.Fonten, haciendo referencia al archivo que descarga, “FONTCACHE. DAT”.
Cuando investigamos los ordenadores en la red de la compañía, se encontraron sólo los archivos asociados con BE2, lo que indica que BE3 se utilizó sólo como una herramienta inicial en esta red. Los archivos de configuración dentro de BE2 contenían las configuraciones del proxy web interno de la compañía:
El archivo de configuración BE2 contiene el proxy interno de su víctima
Como el BE2 con APTs específicos ahora almacena los plugins descargados en archivos cifrados del sistema (algo que no hacían las versiones anteriores, cuyos plugins sólo estaban en la memoria), los administradores pudieron recolectar los archivos BE2 de los equipos infectados. Después de descifrar estos archivos, conseguimos plugins que se ejecutaron en diferentes equipos: ps, vsnet, fs, ss, dstr.
Todo indica que los atacantes compartieron el módulo ‘dstr’ cuando se dieron cuenta de que estaban expuestos y trataron de esconderse. Los equipos que ya habían ejecutado el plugin, perdieron sus datos y se volvieron imposibles de iniciar.
Comando dstr destructivo en archivo de configuración BE2
Algunos equipos también tenían documentos cifrados, pero no se pudo encontrar ningún plugin relacionado.
Víctima #2
La segunda organización se comprometió mediante las credenciales VPN robadas a la primera víctima. La segunda organización inició una investigación cuando se enteró de la infección. Confirmó que se había destruido parte de la información de sus equipos, por lo que los atacantes BE2 habían demostrado su capacidad de destrucción. También revelaron que se había comprometido sus routers Cisco con diferentes versiones de IOS. No lograron conectarse a los routers por telnet y encontraron los siguientes scripts tcl de “despedida” en el sistema de archivos del router:
Ciscoapi.tcl – contiene varios envoltorios sobre los comandos EXEC de cisco como se describe en los comentarios.
El comentario incluye un mensaje agresivo para “kaspeRsky”:
Fragmento de ciscoapi.tcl de BE2
Killint.tcl – utiliza Ciscoapi.tcl, implementa funciones destructivas:
Fragmento de killint.tcl de BE2
El script intenta descargar ciscoapi.tcl de un servidor FTP que sirve como almacenamiento para archivos BE2. La organización descubrió los scripts que se alojaron en el servidor antes de que el equipo BE/SandWorm los eliminara y, por desgracia, no pudo recuperarlos. El actor BE2 realiza actividades cuidadosas y profesionales para cubrir sus rastros:
ciscoapi.tcl
killint.tcl
telnetapi2.tcl
telnetu.tcl
stub.tcl
stub1.tcl
La evidencia indica que los registros que produjeron algunos scripts también se almacenaban en el servidor FTP, en particular la información sobre CDP vecinos que ofrece uno de los procedimientos de ciscoapi.tcl.
Víctima #3
La tercera organización quedó comprometida por el mismo tipo de ataque que la primera (un archivo EXE que se hacía pasar por un documento dentro de un archivo ZIP). Se conocían todos los plugins que se descubrieron en los archivos BE2 y no se descubrieron redes de dispositivos comprometidos ni datos destruidos. Lo llamativo fue que muchos ordenadores estaban infectados con tanto archivos BE2 como BE3, y algunos de los archivos de configuración contenían la siguiente URL:
hxxps://46.165.222(dot)28/upgrade/f3395cd54cf857ddf8f2056768ff49ae/getcfg.php
La URL contiene el md5 de la cadena de caracteres del ‘router’. Uno de los archivos de configuración que se descubrieron contenía una URL con un md5 que todavía no se había identificado:
hxxps://46.165.222(dot)28/upgrade/bf0dac805798cc1f633f19ce8ed6382f/upgrade.php
Grupo de víctimas #4
Se descubrió un grupo de víctimas que instaló el programa SCADA de Siemens en su entorno ICS, causando así que BlackEnergy se descargue y ejecute. Comenzando en marzo 2014 y terminando en julio 2014, el “ccprojectmgr.exe” de Siemens descargó y ejecutó diferentes cargas explosivas alojadas en 94.185.85.122/favicon.ico. Todas son variantes de “Backdoor.Win32.Blakken”.
Identificadores
Cada archivo de configuración dentro del main.dll de BE2 tiene un campo llamado “build_id” que identifica la versión del malware para los operadores. En la actualidad, este grupo de BE/SandWorm utiliza un patrón específico para los build ids que contienen tres números hexadecimales y tres letras, como se ve a continuación:
0C0703hji
Los números indican la fecha de creación del archivo en el formato: Año-Mes-Día. Todavía se desconoce el propósito de las letras, pero creemos que indica los blancos del ataque. No siempre se usaron todo el tiempo, a veces también encontramos números decimales:
100914_mg
100929nrT
Nos interesaba encontrar el identificador más antiguo. Por ahora es “OB020Ad0V”, que significa que la APT BE2/SandWorm ya había comenzado a operar a principios de 2010.
Apéndice: IoC
El dropper BE instala su controlador con un nombre elegido al azar que no pertenece a Windows, como system32%driversAliIde.sys. El controlador se firma a sí mismo en sistemas de 64 bits.
Sin embargo, el nuevo “APT” BE2 utiliza uno de los siguientes nombres de archivo que se usan como un almacenamiento cifrado para plugins y las características de la red. Son consistentes y funcionan como un IoC estable:
%system32%driverswinntd_.dat
%system32%driverswinntd.dat
%system32%driverswincache.dat
%system32%driversmlang.dat
%system32%driversosver32nt.dat
%LOCALAPPDATA%adobewind002.dat
%LOCALAPPDATA%adobesettings.sol
%LOCALAPPDATA%adobewinver.dat
%LOCALAPPDATA%adobecache.dat
BE2 también utiliza ubicaciones de menú de inicio para mantenerse en el sistema:
UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupflashplayerapp.exe
BE3 emplea los siguientes filenames conocidos:
%USERPROFILE%NTUSER.LOG
%LOCALAPPDATA%FONTCACHE.DAT
MD5s de BE2:
d57ccbb25882b16198a0f43285dafbb4
7740a9e5e3feecd3b7274f929d37bccf
948cd0bf83a670c05401c8b67d2eb310
f2be8c6c62be8f459d4bb7c2eb9b9d5e
26a10fa32d0d7216c8946c8d83dd3787
8c51ba91d26dd34cf7a223eaa38bfb03
c69bfd68107ced6e08fa22f72761a869
3cd7b0d0d256d8ff8c962f1155d7ab64
298b9a6b1093e037e65da31f9ac1a807
d009c50875879bd2aefab3fa1e20be09
88b3f0ef8c80a333c7f68d9b45472b88
17b00de1c61d887b7625642bad9af954
27eddda79c79ab226b9b24005e2e9b6c
48937e732d0d11e99c68895ac8578374
82418d99339bf9ff69875a649238ac18
f9dcb0638c8c2f979233b29348d18447
72372ffac0ee73dc8b6d237878e119c1
c229a7d86a9e9a970d18c33e560f3dfc
ef618bd99411f11d0aa5b67d1173ccdf
383c07e3957fd39c3d0557c6df615a1a
105586891deb04ac08d57083bf218f93
1deea42a0543ce1beeeeeef1ffb801e5
7d1e1ec1b1b0a82bd0029e8391b0b530
1f751bf5039f771006b41bdc24bfadd3
d10734a4b3682a773e5b6739b86d9b88
632bba51133284f9efe91ce126eda12d
a22e08e643ef76648bec55ced182d2fe
04565d1a290d61474510dd728f9b5aae
3c1bc5680bf93094c3ffa913c12e528b
6a03d22a958d3d774ac5437e04361552
0217eb80de0e649f199a657aebba73aa
79cec7edf058af6e6455db5b06ccbc6e
f8453697521766d2423469b53a233ca7
8a449de07bd54912d85e7da22474d3a9
3f9dc60445eceb4d5420bb09b9e03fbf
8f459ae20291f2721244465aa6a6f7b9
4b323d4320efa67315a76be2d77a0c83
035848a0e6ad6ee65a25be3483af86f2
90d8e7a92284789d2e15ded22d34ccc3
edb324467f6d36c7f49def27af5953a5
c1e7368eda5aa7b09e6812569ebd4242
ec99e82ad8dbf1532b0a5b32c592efdf
391b9434379308e242749761f9edda8e
6bf76626037d187f47a54e97c173bc66
895f7469e50e9bb83cbb36614782a33e
1feacbef9d6e9f763590370c53cd6a30
82234c358d921a97d3d3a9e27e1c9825
558d0a7232c75e29eaa4c1df8a55f56b
e565255a113b1af8df5adec568a161f3
1821351d67a3dce1045be09e88461fe9
b1fe41542ff2fcb3aa05ff3c3c6d7d13
53c5520febbe89c25977d9f45137a114
4513e3e8b5506df268881b132ffdcde1
19ce80e963a5bcb4057ef4f1dd1d4a89
9b29903a67dfd6fec33f50e34874b68b
b637f8b5f39170e7e5ada940141ddb58
c09683d23d8a900a848c04bab66310f1
6d4c2cd95a2b27777539beee307625a2
e32d5c22e90cf96296870798f9ef3d15
64c3ecfd104c0d5b478244fe670809cc
b69f09eee3da15e1f8d8e8f76d3a892a
294f9e8686a6ab92fb654060c4412edf
6135bd02103fd3bab05c2d2edf87e80a
b973daa1510b6d8e4adea3fb7af05870
8dce09a2b2b25fcf2400cffb044e56b8
6008f85d63f690bb1bfc678e4dc05f97
1bf8434e6f6e201f10849f1a4a9a12a4
6cac1a8ba79f327d0ad3f4cc5a839aa1
462860910526904ef8334ee17acbbbe5
eeec7c4a99fdfb0ef99be9007f069ba8
6bbc54fb91a1d1df51d2af379c3b1102
8b152fc5885cb4629f802543993f32a1
6d1187f554040a072982ab4e6b329d14
3bfe642e752263a1e2fe22cbb243de57
c629933d129c5290403e9fce8d713797
1c62b3d0eb64b1511e0151aa6edce484
811fcbadd31bccf4268653f9668c1540
0a89949a3a933f944d0ce4c0a0c57735
a0f594802fbeb5851ba40095f7d3dbd1
bf6ce6d90535022fb6c95ac9dafcb5a5
df84ff928709401c8ad44f322ec91392
fda6f18cf72e479570e8205b0103a0d3
39835e790f8d9421d0a6279398bb76dc
fe6295c647e40f8481a16a14c1dfb222
592c5fbf99565374e9c20cade9ac38aa
ad8dc222a258d11de8798702e52366aa
bc21639bf4d12e9b01c0d762a3ffb15e
3122353bdd756626f2dc95ed3254f8bf
e02d19f07f61d73fb6dd5f7d06e9f8d2
d2c7bf274edb2045bc5662e559a33942
ac1a265be63be7122b94c63aabcc9a66
e06c27e3a436537a9028fdafc426f58e
6cf2302e129911079a316cf73a4d010f
38b6ad30940ddfe684dad7a10aea1d82
f190cda937984779b87169f35e459c3a
698a41c92226f8e444f9ca7647c8068c
bc95b3d795a0c28ea4f57eafcab8b5bb
82127dc2513694a151cbe1a296258850
d387a5e232ed08966381eb2515caa8e1
f4b9eb3ddcab6fd5d88d188bc682d21d
8e42fd3f9d5aac43d69ca740feb38f97
a43e8ddecfa8f3c603162a30406d5365
ea7dd992062d2f22166c1fca1a4981a1
7bf6dcf413fe71af2d102934686a816b
cf064356b31f765e87c6109a63bdbf43
4a46e2dc16ceaba768b5ad3cdcb7e097
2134721de03a70c13f2b10cfe6018f36
7add5fd0d84713f609679840460c0464
cc9402e5ddc34b5f5302179c48429a56
9803e49d9e1c121346d5b22f3945bda8
c5f5837bdf486e5cc2621cc985e65019
2b72fda4b499903253281ebbca961775
7031f6097df04f003457c9c7ecbcda1c
6a6c2691fef091c1fc2e1c25d7c3c44c
9bd3fa59f30df5d54a2df385eba710a5
5100eb13cac2fc3dec2d00c5d1d3921c
0a2c2f5cf97c65f6473bdfc90113d81e
30b74abc22a5b75d356e3a57e2c84180
a0424e8436cbc44107119f62c8e7491b
c1ba892d254edd8a580a16aea6f197e9
e70976785efcfaeed20aefab5c2eda60
397b5d66bac2eb5e950d2a4f9a5e5f2c
4e9bde9b6abf7992f92598be4b6d1781
54d266dee2139dd82b826a9988f35426
5b4faa2846e91e811829a594fecfe493
907448af4388072cdc01e69b7b97b174
ccad214045af69d06768499a0bd3d556
1395dfda817818c450327ab331d51c1b
715e9e60be5a9b32075189cb04a0247e
3835c8168d66104eed16c2cd99952045
f32c29a620d72ec0a435982d7a69f683
95e9162456d933fff9560bee3c270c4e
da01ef50673f419cf06b106546d06b50
2dd4c551eacce0aaffedf4e00e0d03de
34f80f228f8509a67970f6062075e211
81ca7526881a0a41b6721048d2f20874
d642c73d0577dd087a02069d46f68dac
MD5s de BE3:
f0ebb6105c0981fdd15888122355398c
7cb6363699c5fd683187e24b35dd303e
4d5c00bddc8ea6bfa9604b078d686d45
f37b67705d238a7c2dfcdd7ae3c6dfaa
46649163c659cba8a7d0d4075329efa3
628ef31852e91895d601290ce44650b1
723eb7a18f4699c892bc21bba27a6a1a
8b9f4eade3a0a650af628b1b26205ba3
f6c47fcc66ed7c3022605748cb5d66c6
6c1996c00448ec3a809b86357355d8f9
faab06832712f6d877baacfe1f96fe15
2c72ef155c77b306184fa940a2de3844
2e62e8949d123722ec9998d245bc1966
b0dc4c3402e7999d733fa2b668371ade
93fa40bd637868a271002a17e6dbd93b
f98abf80598fd89dada12c6db48e3051
8a7c30a7a105bd62ee71214d268865e3
2f6582797bbc34e4df47ac25e363571d
81d127dd7957e172feb88843fe2f8dc1
3e25544414030c961c196cea36ed899d
Investigaciones previas y paralelas
Botnet History Illustrated by BlackEnergy 2, PH Days, Kaspersky Lab – Maria Garnaeva y Sergey Lozhkin, mayo 2014
BlackEnergy and Quedagh (pdf), F-Secure, septiembre 2014
Sandworm, iSIGHT Partners, octubre 2014
Alert (ICS-ALERT-14-281-01A) Ongoing Sophisticated Malware Campaign Compromising ICS (Update A), ICS-CERT, octubre 2014
Plugins BE2 personalizados, abuso de Routers y perfil de las víctimas