Identificado pela ESET, o malware tem o nome de código Win32/Industroyer e é considerado pela empresa de segurança como “particularmente perigoso” devido às suas capacidades de controlar disjuntores e interruptores elétricos de empresas que se foquem na distribuição de energia. Pode ainda ser utilizado para atacar infraestruturas críticas como as companhias de água e gás.

O software malicioso aproveita-se dos protocolos de comunicação utilizados por todos os sistemas industriais para comunicarem entre si. Durante o ataque o Industroyer consegue penetrar, de forma invisível, as redes das empresas e desligar a distribuição de energia, o que poderá levar à existência de danos mais sérios nos equipamentos.

Os atacantes aproveitam uma backdoor existente e que lhes permite gerir o ataque. O método de funcionamento passa por instalar e controlar todos os componentes nos sistemas infetados ligando-se a um servidor remoto onde recebe e envia informação dos atacantes.

O malware tem a capacidade de permanecer invisível dentro dos sistemas infetados e possuí uma funcionalidade que permite apagar qualquer vestígio da infeção após concluir o trabalho.

“A capacidade de persistência e a interferência direta com os sistemas industriais fazem do Industroyer um dos malwares mais perigosos desde o stuxnet, que atacou com sucesso o programa nuclear do Irão e foi descoberto em 2010”, afirma, em comunicado, Anton Cherepanoy, investigador sénior de malware da ESET.

A empresa de segurança acredita que o ataque de dezembro de 2016 à rede ucraniana, que deixou Kiev sem luz durante uma hora, poderá ter sido causado pela utilização do Industroyer.