Los ciberataques industriales se vuelven más raros pero más complejos

Referencial. Sala de control de la planta de GLP en el campo Khor Mor en Kurdistán | Foto cortesía

 

La primera mitad de 2020 vio disminuciones en los ataques en la mayoría de los Sistemas de Control Industrial (ICS en inglés), pero las empresas de petróleo / gas y la automatización de edificios experimentaron repuntes.

Por DMB | lapatilla.com

Los ciberataques contra la industria del petróleo y el gas aumentaron solo ligeramente en comparación con la segunda mitad de 2019. Los expertos en seguridad dicen que están alentados por el crecimiento anémico, pero al mismo tiempo expresan preocupación porque los ataques ahora se están volviendo más potentes, específicos y complejos.

Según una nueva investigación de Kaspersky, el 37,8 por ciento de las computadoras vinculadas al segmento de sistemas de control industrial (ICS) sufrieron ataques en la primera mitad de 2020, lo que representa solo un aumento del 2 por ciento, reseña Threatpost

Los investigadores encontraron que los ataques relacionados con ICS en el sector de petróleo y gas son uno de los únicos aumentos encontrados dentro del sector de ICS. También informó un aumento de casi un 2 por ciento en las computadoras atacadas en el espacio de automatización de edificios (39,9 por ciento de estas amenazas resistidas en la primera mitad).

Las amenazas en forma de gusanos informáticos fueron un área de desarrollo particularmente activa para los atacantes de petróleo y gas. Los investigadores observaron numerosas variantes nuevas de malware independiente en forma de gusanos escritos en lenguajes de script, específicamente Python y PowerShell, en computadoras utilizadas para diseñar, mantener y automatizar sistemas industriales en ese sector. El aumento de estas detecciones se produjo desde finales de marzo hasta mediados de junio de 2020, principalmente en China y Oriente Medio.

“Todas las muestras de gusanos detectados, tanto en Python como en PowerShell, son capaces de recopilar credenciales de autenticación de la memoria de los procesos del sistema en las máquinas atacadas para propagarse dentro de la red”, según la investigación. “En la mayoría de los casos, el malware usa diferentes versiones de Mimikatz para robar las credenciales de autenticación de la memoria. Sin embargo, hubo algunas muestras de PowerShell que utilizaron la biblioteca del sistema comsvsc.dll (MS Windows) para guardar un volcado de memoria del proceso del sistema en el que el malware luego buscó credenciales de autenticación”.

Kaspersky también dijo que el ligero aumento en los ataques de automatización de edificios en particular es motivo de preocupación.

“Los sistemas de automatización de edificios a menudo pertenecen a organizaciones de contratistas, e incluso cuando estos sistemas tienen acceso a la red corporativa del cliente, no siempre están controlados por el equipo de seguridad de la información corporativa”, según el informe, publicado el jueves . “Dado que la disminución de los ataques masivos se compensa con un aumento en el número y la complejidad de los ataques dirigidos en los que vemos la utilización activa de varias herramientas de movimiento lateral, los sistemas de automatización de edificios pueden resultar incluso menos seguros que los sistemas corporativos dentro de la misma red”.

Sin embargo, en general, el porcentaje de computadoras ICS que fueron atacadas ha disminuido en 6.6 puntos porcentuales desde la segunda mitad de 2019, a 32.6 por ciento, encontró Kaspersky. El volumen de ataques varió según la geografía; Argelia todavía vio un gran número de ellos (58,1 por ciento), mientras que Suiza tenía solo el 12,7 por ciento de las computadoras ICS en la mira de los ciberatacantes.

Ataques más complejos

Detrás de esos números positivos, Kaspersky identificó algunas tendencias clave. Por un lado, las amenazas se están volviendo más específicas y complejas.

Por ejemplo, en marzo, los investigadores de la empresa descubrieron una campaña APT previamente desconocida llamada “WildPressure “. Dirigido a empresas industriales y otros, utilizó un troyano que se denominó Milum. Milum tiene la capacidad de controlar dispositivos de forma remota. Puede descargar y ejecutar comandos y recopilar una variedad de información del dispositivo de destino. Para su infraestructura de campaña, los operadores utilizaron servidores privados virtuales (VPS) alquilados por OVH y Netzbetrieb y un dominio registrado en el servicio de anonimización Domains by Proxy.

“Un análisis de código del nuevo malware no mostró superposiciones o similitudes notables con ninguna campaña de APT conocida anteriormente”, señalaron los investigadores de Kaspersky.

Mientras tanto, el ransomware casi no era un factor, y se encontró que apuntaba solo al 0,63 por ciento de las computadoras ICS. Sin embargo, cuando ocurrieron los incidentes, fueron significativos. Por ejemplo, el grupo belga Picanol, un gran fabricante de telares de alta tecnología, fue víctima de un ataque masivo de ransomware en enero.

No se ha publicado información sobre el ransomware en sí, pero “el ataque interrumpió gravemente las operaciones de las plantas de fabricación de la empresa en Bélgica, Rumanía y China”, según el informe. “El ataque se descubrió durante la noche, cuando los empleados de Picanol en China no pudieron acceder a los sistemas de TI de la empresa. También surgieron problemas similares en Ypres en Bélgica. Las operaciones de la empresa se paralizaron casi por completo. Los 2.300 empleados de Picanol estuvieron sin trabajo durante más de una semana ”.

De lo contrario, “estamos viendo notablemente más familias de puertas traseras, software espía, vulnerabilidades de Win32 y malware construido en la plataforma .Net”, según la investigación. “Internet, los medios extraíbles y el correo electrónico siguen siendo las principales fuentes de amenazas en el entorno de ICS”.