Una nueva campaña de malware creada para explotar fallas en los dispositivos conectados está dirigida a fabricantes de todo el mundo y afecta a productos desde impresoras inteligentes hasta equipos operativos pesados.
Los investigadores de TrapX Labs vieron por primera vez este ataque dirigido a fabricantes latinoamericanos en octubre de 2019. Desde entonces, ha seguido expandiéndose, con un pico en diciembre y un crecimiento continuo este año en regiones como América del Norte, África y Medio Oriente, dice TrapX CEO Ori Bach.
«Dada la naturaleza del ataque, tiene sentido hacerlo international», explica Bach. «El atacante quiere cubrir la mayor cantidad de bienes raíces posible».
Esta campaña de ataque utiliza un programa de descarga que se propaga automáticamente y que ejecuta scripts maliciosos como parte de la familia de malware Lemon_Duck PowerShell. La amenaza explota las vulnerabilidades en los dispositivos integrados de Home windows 7 y se dirige específicamente a los sitios de fabricación, donde los dispositivos infectados pueden funcionar mal y presentar riesgos para la seguridad de los empleados, la interrupción de la cadena de suministro y la pérdida de datos.
Los atacantes emplean varias metodologías para entrar en los sitios de fabricación, dice Bach, pero finalmente su entrada inicial se make a través de dos vectores de ataque principales. El primero es un correo electrónico de phishing clásico Si tiene éxito, un intruso puede usar una variedad de herramientas (protocolos de vulnerabilidad, contraseñas débiles, pasar el hash y otros) para extenderse por toda la organización objetivo.
El segundo es una infección de la cadena de suministro. Un atacante puede comprometer a una empresa donde se fabrican dispositivos para que lleguen a su destino ultimate preinfectados. Una vez que están conectados a una crimson de destino, estos dispositivos maliciosos pueden propagar malware a otros en la red. Estos ataques a la cadena de suministro representan el 80% de las infecciones en esta campaña en particular, señala Bach. Agrega que hay muchos productos para proteger contra los correos electrónicos de phishing, pero existen menos para combatir las amenazas de la cadena de suministro.
En estos ataques, y en muchas campañas centradas en World wide web de las cosas, a los adversarios no les preocupa el tipo de dispositivo que infectan. «Los atacantes obviamente son agnósticos de la función operativa del dispositivo», dice sobre la elección de objetivos. «Lo que les importa es lo que este dispositivo está ejecutando». Para muchos dispositivos, este es Windows 7, un sistema operativo que dejó de recibir soporte de seguridad a principios de este año.
Un ejemplo de uno de estos dispositivos es el escáner / impresora DesignJet SD Pro, que se infectó en esta campaña y sirvió como punto de entrada a una crimson de destino, informe de los investigadores. Se utiliza para imprimir dibujos de ingeniería técnica y contiene datos confidenciales para los productos del fabricante También ejecutaba Home windows 7 integrado y tenía acceso a Online y varios proyectos.
En un ataque separado de la cadena de suministro, los atacantes infectaron un vehículo guiado automático (AGV), un equipo utilizado para transportar materiales o realizar tareas en entornos industriales. Los AGV funcionan con baterías o motores eléctricos y pueden amenazar la seguridad de los empleados en una zona de trabajo. Este incidente causó confusión en la línea de producción, posiblemente dañando los productos que los AGV ensamblan. La crimson de destino contenía otros tres AGV, todos los cuales estaban preinfectados con malware.
Malware de fabricación
Lemon_Duck fue desarrollado como un criptominer, dice Bach. En este escenario, el malware se ha personalizado para realizar capacidades más allá de la extracción de criptomonedas en una máquina de destino.
Esta variante en individual escanea una red en busca de objetivos potenciales, incluidos los dispositivos con servicios SMB (445) o MSSQL (1433) abiertos. Cuando encuentra uno, el malware ejecuta múltiples hilos con varias funcionalidades. Primero intenta forzar a los servicios con nombres de usuario y contraseñas para obtener acceso para poder descargar y propagar el malware a través de SMB o MSSQL. Otra de sus funcionalidades es ejecutar invoke-mimkatz a través del módulo de importación para obtener hash NTLM y obtener acceso, otro medio para descargar y difundir el malware a través de SMB. Una vez que se obtiene el acceso SMB, utiliza una herramienta para copiarse en el dispositivo de destino y ejecutarse como un objetivo.
Es posible que algunas de estas funciones no funcionen, por eso Lemon_Duck viene con planes de respaldo. Si falla por fuerza bruta o hash NTLM, intentará usar la vulnerabilidad EternalBlue SMB para obtener acceso al sistema y ejecutarse como un servicio en el objetivo. Lemon_Duck persiste a través de tareas programadas, que ejecutan los scripts de PowerShell para descargar aún más los scripts de Lemon_Duck PowerShell.
Este ataque presenta un desafío para los fabricantes porque los dispositivos a menudo no están completamente parcheados y pueden ser difíciles de limpiar, dice Bach. Lo que es más, pueden ser reinfectados por otras máquinas en la red después de eliminar el malware porque la naturaleza de Lemon_Duck es propagarse rápidamente. La aplicación de parches es más difícil en una pink de tecnología operativa que en un entorno de TI tradicional.
El fin del soporte para Windows 7 complica el desafío para los fabricantes porque el equipo es difícil de actualizar y costoso de reemplazar. Bach aconseja a las organizaciones que comiencen por mapear los productos que tienen en su entorno y trabajen con cada proveedor specific para determinar qué se debe reemplazar y qué se debe actualizar a un nuevo sistema operativo.
Contenido relacionado:
Kelly Sheridan es la Editora de particular de Darkish Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance & Technology, donde cubrió asuntos financieros … Ver biografía completa
Más concepts
