Industroyer / CrashOverride.

Malware ICS modular usado no ataque à rede elétrica ucraniana de 2016 e atualizado como Industroyer2 em 2022, capaz de comunicar nos protocolos nativos da rede. Pertence à categoria OT / ICS / IoT da cibersegurança.

Malware ICS modular usado no ataque à rede elétrica ucraniana de 2016 e atualizado como Industroyer2 em 2022, capaz de comunicar nos protocolos nativos da rede.

O Industroyer (também conhecido como CrashOverride) é um framework de malware ICS modular utilizado pela primeira vez em dezembro de 2016 contra uma subestação de transporte em Kiev, na Ucrânia, provocando um corte de energia de aproximadamente uma hora. Ao contrário de ataques anteriores, o Industroyer implementava diretamente IEC 60870-5-101, IEC 60870-5-104, IEC 61850 e OPC DA, além de um módulo de negação de serviço contra Siemens SIPROTEC, permitindo enviar comandos nativos a RTU, IED e relés de proteção. ESET, Dragos e vários governos ocidentais atribuem o Industroyer ao grupo Sandworm do GRU russo. Um sucessor, o Industroyer2, foi descoberto em abril de 2022 durante uma tentativa de ataque a uma elétrica ucraniana. O framework demonstra que adversários podem construir ferramentas ICS reutilizáveis e conscientes dos protocolos.

As defesas contra Industroyer / CrashOverride costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: CrashOverride, Industroyer2.