Los atacantes apuntan a pequeñas empresas manufactureras



Las tácticas más comunes incluyen el relleno de credenciales utilizando cuentas válidas, varias formas de engaño y vulnerabilidades en software de terceros, dice Swift7 en su último informe trimestral de amenazas.

Los incidentes de ciberseguridad dirigidos al sector manufacturero aumentaron significativamente en el segundo trimestre de 2020, representando más de un tercio de los ataques detectados, frente al 11% en el primer trimestre del año, afirma la firma de servicios de ciberseguridad Fast7 en su último informe de amenazas.

Alrededor de las tres cuartas partes de los incidentes que afectaron a los fabricantes se dirigieron a siete pequeñas empresas, que Rapid7 no mencionó en su informe. El único otro sector en el que la mayoría de los ataques se dirigieron a empresas más pequeñas fue el financiero. Los ataques no parecen ser ataques de espionaje patrocinados por el estado, sino principalmente intentos de infectar la pink de una empresa de fabricación con ransomware, dice Wade Woolwine, investigador principal de seguridad de Swift7.

«Estas son amenazas activas confirmadas … que descubrimos a través de nuestra búsqueda de amenazas», dice. «En su mayor parte, (los fabricantes) son fáciles de identificar porque tienen sistemas anticuados y menos, cómo debería decirlo, menos individual cibernético».

Los datos, basados ​​en los informes de detección enviados a los clientes por el servicio Managed Detection and Reaction (MDR) de Fast7, encontraron que el 35% de los ataques incluían algún tipo de compromiso de la cuenta, mientras que un tercio de los ataques usaban malware y el 29% de los ataques usaban un programa o troyano.

El aumento significativo de los ataques contra los pequeños fabricantes probablemente signifique que cierto subconjunto del segmento está siendo atacado por los ciberdelincuentes, dice Woolwine. Rapid7 no ha visto ningún cambio en su base de clientes que pudiera causar un aumento tan grande en los datos de ataque.

«(P) emos la hipótesis de que la cantidad significativa de organizaciones con 15 incidentes o más en la industria manufacturera probablemente esté relacionada con la mayor orientación a esa industria», Quick7 afirma en su informe. «(C) ono ver solo una o dos empresas con 10 o más infracciones en las otras industrias probablemente esté relacionado con los niveles de madurez más bajos de sus programas de seguridad».

Aparte del enfoque de los atacantes en la fabricación, el aspecto más significativo del segundo trimestre es el enorme cambio en los empleados que trabajan desde casa, por lo que los ataques se están trasladando a ataques basados ​​en credenciales en servicios en la nube y redes privadas virtuales, y al spear-phishing. ataques basados ​​en usuarios finales, dice Woolwine.

«Van a seguir apuntando al usuario closing, sin duda, porque todos estamos distribuidos y no en nuestros entornos corporativos», dice. «Y con todos los investigadores de seguridad trabajando desde casa, es posible que veamos otra vulnerabilidad importante».

Cuando las características de las amenazas detectadas en el segundo trimestre se asignan al marco MITRE ATT & CK, las principales técnicas utilizadas por los atacantes fueron el uso de credenciales válidas, el uso de engaños o enmascaramiento para engañar a las defensas y el uso de program de terceros como vector de ataque. .

Speedy7 también vio una importante botnet de 8.000 nodos que intentaba comprometer los dispositivos de Web de las cosas (IoT) que ejecutan el servicio de shell seguro (SSH), como servidores world-wide-web, enrutadores domésticos, cámaras digitales y grabadoras de movie.

«Estas son campañas bastante &#39ruidosas&#39 que atacan cualquier punto final SSH que puedan encontrar en Net, a pesar de que es muy poco possible que los enrutadores domésticos físicos, y otros tipos de dispositivos de IoT, estén instalados en redes empresariales o en la nube». dice el informe.

La capacidad de las empresas para detectar amenazas, medida por el «tiempo de permanencia», sigue siendo un problema. Mientras que un tercio de las empresas cierran un ataque en un día, otro cuarto requiere hasta una semana y otro cuarto requiere dos meses o más.

«El tiempo de permanencia es otro componente importante de la estrategia de detección y respuesta», afirma el informe de Quick7. «Cuanto más tiempo estén presentes los atacantes en la infraestructura empresarial, es más probable que logren los objetivos de su misión».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Examining, MIT&#39s Know-how Evaluate, Well known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic