industroyer2 - RunkIntel

# Industroyer2 > Tipo: **malware ICS** · S1072 · [MITRE ATT&CK](https://attack.mitre.org/software/S1072) ## Descrição **Industroyer2** é um malware de segunda geração projetado pelo [[g0034-sandworm|Sandworm Team]] para atacar infraestrutura elétrica de alta tensão. É a evolução direta do [[s0604-industroyer|Industroyer]] original (2016), mas com diferenças arquiteturais críticas: enquanto o predecessor suportava múltiplos protocolos industriais (IEC-104, IEC-101, GOOSE, OPC DA), o Industroyer2 implementa **exclusivamente o protocolo IEC 60870-5-104 (IEC-104)**, utilizado para comunicação com subestações elétricas de alta tensão. A principal mudança arquitetural do Industroyer2 é que sua **configuração está completamente embutida no binário** (hardcoded), ao contrário do predecessor que usava arquivo `.INI` externo. Isso implica que os operadores do [[g0034-sandworm|Sandworm Team]] precisam **recompilar o malware para cada nova vítima**, tornando cada amostra única e adaptada ao ambiente específico - evidência de operação de alto nível de customização contra alvos ICS. **Plataformas:** Engineering Workstation, Field Controller/RTU/PLC/IED ## Contexto do Ataque (Abril 2022) Descoberto pela [[eset|ESET]] em conjunto com o CERT-UA em abril de 2022, durante investigação de tentativa de ataque à infraestrutura elétrica ucraniana. A amostra foi compilada em **23 de março de 2022** e agendada para execução em **8 de abril de 2022 às 16h10 UTC**, com objetivo de cortar energia em uma região da Ucrânia. O ataque foi interrompido antes de causar impacto operacional. O [[g0034-sandworm|Sandworm Team]] havia comprometido a rede da concessionária em **pelo menos fevereiro de 2022**, com segunda onda de infiltração em abril. O plano coordenado incluía três camadas simultâneas: 1. **16h10 UTC** - Industroyer2 envia comandos IEC-104 para cortar subestações 2. **16h20 UTC** - [[s0693-caddywiper|CaddyWiper]] apaga Industroyer2 e corrompem discos Windows 3. **Simultâneo** - OrcShred (Linux worm) e AwfulShred/SoloShred (wipers Linux/Solaris) destroem servidores de suporte ## Attack Flow ```mermaid graph TB A["🔐 Acesso Inicial Rede da concessionária comprometida fev/2022"] --> B["🏗️ Staging Upload Industroyer2 compilado 23/03/2022"] B --> C["⚙️ Scheduled Task Execução agendada 08/04/2022 às 16h10 UTC"] C --> D["📡 Ataque IEC-104 Comandos para RTUs subestações alta tensão"] D --> E["💡 Corte de Energia Região da Ucrânia desligada"] E --> F["🗑️ CaddyWiper 16h20 Apaga Industroyer2 corrompem discos HDs"] F --> G["🐧 OrcShred+AwfulShred Wipers Linux e Solaris destroem servidores suporte"] classDef access fill:#1a5276,color:#fff,stroke:#154360 classDef stage fill:#7f8c8d,color:#fff,stroke:#626567 classDef sched fill:#e67e22,color:#fff,stroke:#d35400 classDef ics fill:#c0392b,color:#fff,stroke:#922b21 classDef impact fill:#8e44ad,color:#fff,stroke:#6c3483 classDef wipe fill:#2c3e50,color:#fff,stroke:#1a252f classDef wiper2 fill:#943126,color:#fff,stroke:#78281f class A access class B stage class C sched class D ics class E impact class F wipe class G wiper2 ``` > [!danger] Ataque Coordenado em 3 Camadas > O ataque de abril/2022 combinou Industroyer2 (ICS), [[s0693-caddywiper|CaddyWiper]] (Windows) e OrcShred/AwfulShred/SoloShred (Linux/Solaris) em sequência temporal precisa - cortar energia e destruir capacidade de recuperação simultaneamente. ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1057-process-discovery\|T1057]] | Process Discovery - enumeração de processos ICS | | [[t1490-inhibit-system-recovery\|T1490]] | Inhibit System Recovery - impede recuperação | | [[t1485-data-destruction\|T1485]] | Data Destruction - destruição coordenada de dados | | [[t1561-001-disk-content-wipe\|T1561.001]] | Disk Content Wipe - via CaddyWiper coordenado | ## Comparativo: Industroyer vs Industroyer2 | Característica | [[s0604-industroyer\|Industroyer]] (2016) | Industroyer2 (2022) | |---------------|---------------------|---------------------| | Protocolos ICS | IEC-104, IEC-101, GOOSE, OPC DA | Apenas IEC-104 | | Configuração | Arquivo .INI externo | Hardcoded no binário | | Arquitetura | Modular com plugins | Monolítico compilado | | Limpeza de rastros | Parcial | [[s0693-caddywiper\|CaddyWiper]] coordenado | | Resultado | Blackout Kiev (dez/2016) | Interceptado antes do impacto | ## Malware Associado - [[s0604-industroyer|Industroyer]] - predecessor, blackout Kiev dezembro 2016 - [[s0693-caddywiper|CaddyWiper]] - wiper Windows usado no mesmo ataque (execução 10 min após) - [[s0687-cyclops-blink|Cyclops Blink]] - malware Sandworm posterior (roteadores, 2019+) ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455 / GTsST, atribuição ESET+CERT-UA) ## Relevância para o Brasil e LATAM > [!warning] Protocolo IEC-104 em Concessionárias Brasileiras > O Industroyer2 ataca via protocolo IEC-104 - o mesmo padrão usado em **subestações de transmissão do Brasil** (ANEEL, Enel Brasil, Energisa, Cemig, Copel, CPFL). Risco direto do [[g0034-sandworm|Sandworm Team]] ao Brasil é baixo (foco em Ucrânia), mas a **capacidade técnica é totalmente transferível** a outros atores estatais com acesso a ICS. Recomendações para concessionárias brasileiras: segmentação OT/IT com air-gap em subestações críticas; monitoramento de comandos IEC-104 anômalos; planos de recuperação offline; auditorias de workstations de engenharia com acesso a RTUs. ## Referências - [ESET - Industroyer2: Industroyer reloaded](https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/) - [Mandiant - INDUSTROYER.V2: Old Malware Learns New Tricks](https://cloud.google.com/blog/topics/threat-intelligence/industroyer-v2-old-malware-new-tricks) - [MITRE ATT&CK - S1072](https://attack.mitre.org/software/S1072) - [The Hacker News - Russian Hackers Tried Attacking Ukraine's Power Grid](https://thehackernews.com/2022/04/russian-hackers-tried-attacking.html) - [SOC Prime - Detect Industroyer2 and CaddyWiper](https://socprime.com/blog/detect-industroyer2-and-caddywiper-malware-sandworm-apt-hits-ukrainian-power-facilities/)