Trend Micro ha publicado un nuevo informe en el cual destaca el peligro creciente de tiempo de inacción y de hurto de datos confidenciales que suponen los ataques de ransomware dirigidos a los Sistemas de Control Industrial.
“Los sistemas de control industrial son increíblemente difíciles de defender, debido a que dejan muchas brechas de estabilidad que los actores de amenazas permanecen explotando precisamente con creciente determinación”, comenta Ryan Flores, director senior del equipo forward-looking threat research de Trend Micro. “Teniendo presente que el regimen de Estados Unidos ahora está procurando los ataques de ransomware con la misma gravedad que el terrorismo, esperamos que nuestra última averiguación ayude a los propietarios de plantas industriales a priorizar y reenfocar sus esfuerzos de estabilidad.”
Los sistemas de control industrial (ICS) son un factor determinante de las plantas de servicios públicos, fábricas y otras instalaciones, donde se usan para supervisar y mantener el control de los procesos industriales por medio de las redes de TI-OT.
Los sistemas de control industrial son increíblemente difíciles de defender
Si el ransomware llega a dichos sistemas, podría interrumpir las operaciones a lo largo de días e incrementar el peligro de que los diseños, programas y otros documentos propensos lleguen a la dark web.
El informe de Trend Micro localizó que las versiones Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) y LockBit (10,4%) representaron bastante más de la mitad de las infecciones de ransomware ICS en 2020.
El informe además pone de manifiesto:
Los actores de amenazas permanecen infectando endpoints de ICS para minar criptomonedas usando sistemas operativos no parcheados que todavía son vulnerables a EternalBlue.
Las versiones de Conficker se permanecen propagando en endpoints de ICS que ejecutan sistemas operativos más nuevos por medio de fuerza bruta a los recursos compartidos del administrador.
El malware clásico, como Autorun, Gamarue y Palevo, sigue estando bastante extendido en las redes de TI/OT, propagándose por medio de unidades extraíbles.
El informe insta a una cooperación más estrecha entre los conjuntos de estabilidad de TI y OT para detectar los sistemas clave y las dependencias, como la compatibilidad del OS y los requisitos de tiempo de actividad, para desarrollar tácticas de estabilidad más eficaces.
Trend Micro hace las próximas sugerencias:
La aplicación de parches con prontitud es fundamental. Si esto no es viable, considere la probabilidad de segmentar la red o la aplicación de parches virtuales de proveedores como Trend Micro.
Realice frente al ransomware subsiguiente a la intrusión mitigando las razones raíz de la infección por medio de programa de control de aplicaciones y herramientas de detección y contestación a amenazas para barrer las redes en busca de IoC.
Restrinja los recursos compartidos de la red y aplique combinaciones sólidas de nombre de cliente y contraseña para evadir la entrada no autorizado por medio de la fuerza bruta de credenciales.
Use un IDS o IPS para entablar una línea de base del comportamiento usual de la red y de esta forma identificar mejor la actividad sospechosa.
Escanee los endpoints de ICS en espacios cerrados con herramientas independientes.
Instale quioscos de escaneo de malware USB para comprobar las unidades extraíbles usadas para transferir datos entre los endpoints conectados en ámbitos aislados.
Ejercer el inicio del mínimo privilegio a los administradores y operadores de redes OT.
Byte Ti, R. (2021b, julio 2). Aumenta el ransomware dirigido a los Sistemas de Control Industrial. Revista Byte TI. https://revistabyte.es/ciberseguridad/ataq-sistemas-de-control-industrial/
