Wipers y botnets IoT dominan el panorama de las amenazas OT/IoT

  • Endpoint

En el primer semestre de 2022, el conflicto entre Rusia y Ucrania ha aumentado el número de dispositivos conectados y las redes de bots IoT de los ciberdelincuentes han tenido un mayor impacto en el panorama de las amenazas dirigidas a los sistemas de control industrial.

El último informe de seguridad OT/IoT de Nozomi Networks Labs destaca que el malware wiper, la actividad de redes de bots IoT y la guerra entre Rusia y Ucrania influyeron en el panorama de las amenazas en la primera mitad de 2022.

Desde que Rusia comenzó su invasión de Ucrania en febrero de 2022, los investigadores de Nozomi vieron actividad de diferentes tipos de actores de amenazas, incluyendo hacktivistas, amenazas persistentes avanzadas (APTs) de estados nación y cibercriminales. También observaron un gran uso del malware wiper y fueron testigos de una variante de Industroyer, denominada Industroyer 2, desarrollada para abusar del protocolo IEC-104, que se utiliza habitualmente en entornos industriales.

Además, en la primera mitad del año, la actividad de las botnets IoT maliciosas fue en aumento, tanto en número como en sofisticación. Nozomi estableció una serie de honeypots o señuelos para atraer a estas redes de bots maliciosas y capturar su actividad con el fin de proporcionar información adicional sobre cómo los cibercriminales se dirigen a los entornos IoT. En esta investigación, los analistas descubrieron la creciente preocupación por la seguridad tanto de las contraseñas codificadas como de las interfaces de Internet para las credenciales de los usuarios finales.

Marzo fue el mes más activo con cerca de 5.000 direcciones IP de atacantes únicas recogidas. Las principales direcciones IP de los atacantes estaban asociadas a China y Estados Unidos. Las credenciales "root" y "admin" fueron el objetivo más frecuente y se utilizaron en múltiples variaciones para que los cibercriminales accedieran a todos los comandos del sistema y a las cuentas de usuario.

En el área de las vulnerabilidades, industria y energía continúan siendo los sectores más vulnerables, seguidos de salud e instalaciones comerciales. En el primer semestre la CISA lanzó 560 notificaciones de Vulnerabilidades y Exposiciones Comunes (CVEs), un 14% menos que en el segundo semestre de 2021, si bien el número de proveedores afectados aumentó un 27%. Los productos afectados también aumentaron un 19% respecto al segundo semestre de 2021.

"Este año el panorama de ciberamenazas es complejo", comenta Roya Gordon, evangelista investigador de Seguridad OT/ioT de Nozomi Networks. "Muchos factores como el número creciente de dispositivos conectados, la sofisticación de los actores maliciosas y los cambios en las motivaciones de los ataques, están aumentando el riesgo de una brecha o un ataque ciberfísico. Afortunadamente, las defensas de seguridad también están evolucionando. Ya hay soluciones disponibles para dar visibilidad de la red a las organizaciones de infraestructuras críticas; la detección dinámica de amenazas y la inteligencia accionable que necesitan para minimizar el riesgo y maximizar la resiliencia”.