Nueva oleada de ataques dirigidos contra organizaciones industriales

  • Infraestructuras críticas

Utilizando correos electrónicos de phishing como vector de ataque inicial, los atacantes usaron documentos maliciosos de Microsoft Office, scripts de PowerShell y diversas técnicas para dificultar la detección y el análisis de sus programas maliciosos, incluyendo la esteganografía.

A principios de 2020, el CERT de Kaspersky ICS descubrió una serie de ataques dirigidos contra empresas industriales en diversas regiones. La lista de objetivos incluía proveedores de equipos y software para empresas industriales incluidos sistemas de Japón, Italia, Alemania y el Reino Unido. Los atacantes utilizaron documentos maliciosos de Microsoft Office, scripts de PowerShell y diversas técnicas para dificultar la detección y el análisis de sus programas maliciosos, incluyendo la esteganografía, una ingeniosa tecnología de ocultamiento de información.

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Los ataques dirigidos a objetos industriales son sofisticados y se centran en empresas que tienen un valor crítico. En estos ataques, los correos electrónicos de phishing utilizados como vector de ataque inicial se adaptaron y personalizaron al lenguaje específico de cada víctima concreta. El malware utilizado en este ataque realizaba actividades destructivas sólo si el sistema operativo tenía una localización que coincidía con el lenguaje utilizado en el correo electrónico de phishing.

Un análisis más detallado ha demostrado que los atacantes usaron la utilidad Mimikatz para robar los datos de autenticación de las cuentas de Windows almacenadas en un sistema comprometido, una información que puede ser utilizada por los atacantes para acceder a otros sistemas dentro de la red de la empresa y desarrollar ataques.

Este ataque atrajo la atención debido a la utilización por parte de los atacantes de varias soluciones técnicas no estándar. Por ejemplo, el módulo de malware está codificado dentro de la imagen utilizando métodos de esteganografía, y la propia imagen está alojada en recursos web legítimos. Todo ello hace casi imposible detectar la descarga de ese malware mediante herramientas de vigilancia y de control del tráfico de la red: desde el punto de vista de las soluciones técnicas, esa actividad no difiere del acceso habitual al alojamiento legítimo de la imagen. Junto con el carácter dirigido de las infecciones, estas técnicas indican el carácter sofisticado y selectivo de estos ataques. En todos los casos detectados, el malware fue bloqueado por las soluciones de seguridad de Kaspersky, lo que impidió que los atacantes continuaran con su actividad.

“Es preocupante que las empresas industriales se encuentren entre las víctimas del ataque. Si los datos de autenticación de los empleados de la organización caen en manos malintencionadas, esto puede tener muchas consecuencias negativas, empezando por el robo de datos confidenciales y terminando por los ataques a empresas industriales a través de las herramientas de administración remota utilizadas por el proveedor", explica Vyacheslav Kopeytsev, experto en seguridad de Kaspersky.

"El ataque demuestra una vez más que para que las instalaciones de energía eléctrica funcionen de manera fiable, es de vital importancia garantizar la protección de las estaciones de trabajo y los servidores, tanto de las redes tecnológicas corporativas como de las operativas. Aunque una protección fuerte de los endpoints puede ser suficiente para evitar ataques similares, en este caso, recomendamos utilizar un enfoque más completo para la ciberdefensa de una instalación industrial. Los ataques a través de empresas adjudicatarias y proveedores pueden tener puntos de entrada completamente diferentes dentro de la empresa, incluidos los de la red de OT. Aunque los objetivos del ataque no están claros, es mejor asumir que los atacantes tienen el potencial de acceder a los sistemas críticos de la instalación. Los sistemas actuales de vigilancia, detección de anomalías y de ataques a redes pueden ayudar a detectar oportunamente los indicios de un ataque contra los sistemas y equipos de control industrial y a prevenir un posible incidente", comenta Anton Shipulin, jefe de la división de soluciones de Kaspersky Industrial CyberSecurity.