La fabricación ve una amenaza creciente de ransomware



Los grupos de cripto-ransomware adoptan cada vez más malware y herramientas que pueden sondear y atacar la tecnología operativa, como los sistemas de management industrial, según una evaluación de las amenazas actuales.

Los grupos de ransomware están adoptando cada vez más técnicas que podrían usarse para dañar las operaciones de las empresas de fabricación, como la incorporación de código que busca y explota sistemas de management industrial (ICS) y puede extenderse desde redes de TI a redes OT, según la firma de seguridad ICS Dragos.

En un informe publicado hoy, la compañía apunta a múltiples bases de código, incluidas EKANS, Megacortex y Clop, que ahora incluyen código para detener procesos en ICSes, y señaló múltiples incidentes públicos de ransomware que cerraron las empresas de fabricación. En marzo de 2020, por ejemplo, una cepa del ransomware Ryuk afectó al fabricante de acero EVRAZ, cerró la producción y provocó la licencia temporal de más de 1,000 trabajadores durante al menos cuatro días, dijo Dragos, citando informes de los medios.

Si bien otros tipos de ataques han tenido como objetivo a los fabricantes, el ransomware representa el mayor riesgo en 2020, especialmente para muchos subsectores críticos de la industria, dice Selena Larson, analista senior de ciberamenazas en Dragos.

«La fabricación es increíblemente importante y vital como proveedor de muchas otras industrias», dice. «Los fabricantes de productos farmacéuticos son enormemente importantes, especialmente cuando se trata de la pandemia de coronavirus. Y tomemos la foundation industrial de defensa, que apoya la infraestructura gubernamental y militar».

El enfoque en las empresas de fabricación no es sorprendente dada la evolución del ransomware. La atención médica, el gobierno local y los distritos escolares han sido objetivos muy visibles de los grupos de ransomware porque todos tienen un componente operativo. Eliminar las capacidades de esas organizaciones tiene un impacto directo en los servicios y las operaciones, lo que a menudo conduce a la divulgación de la infracción y hace que el pago del rescate sea la mejor decisión comercial.

En 2019, el equipo de respuesta a incidentes de Dragos encontró dos tercios de los incidentes involucraron a los atacantes que accedían a un ICS directamente desde Web, mientras que todos los ataques podían conectarse desde sus entornos operativos, lo que permitía a los adversarios exfiltrar datos.

En julio, la Agencia de Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA) empresas advertidas que los adversarios apuntaban cada vez más a las redes operativas utilizando spear-phishing, buscando controladores de equipos industriales conectados a World-wide-web y, a menudo, implementando ransomware de productos básicos.

«Desde el ciberataque de Ucrania de 2015, las organizaciones deben asumir en su planificación no solo un sistema de control defectuoso o inoperante, sino un sistema de handle que actúa activamente en contra de la operación segura y confiable del proceso», advirtió el aviso.

En su informe, Dragos también advirtió que los adversarios, especialmente los actores del estado-nación, tenían como objetivo la propiedad intelectual del fabricante y que los proveedores y socios externos a menudo se veían comprometidos como una forma de ingresar a la pink de un fabricante.

«Aprovechar las conexiones de terceros puede permitir que un adversario lleve a cabo operaciones de espionaje, reconocimiento y robo de datos para prepararse para un ataque OT potencialmente disruptivo», afirmó Dragos en el informe. «Debido a las relaciones interconectadas (que) las empresas de fabricación tienen en las verticales industriales, los propietarios y operadores de activos deben estar al tanto de las amenazas a todas las entidades de ICS e incorporar inteligencia de amenazas específica de ICS en las operaciones de seguridad y la gestión de riesgos».

Si bien Dragos atribuye ataques a grupos específicos en función de sus capacidades, infraestructura, a quiénes apuntan y los detalles de su presencia en línea, conocido como el modelo de amenaza de diamantes, la compañía no vinculó los ataques con estados nacionales específicos. En basic, sin embargo, muchos ataques de ransomware parecen estar conectados a actores del estado-nación y probablemente sean una forma de que algunos actores obtengan experiencia y financiamiento. Los grupos que Dragos denominó Chrysene, Magnallium y Parisite, por ejemplo, apuntan a otras empresas y organizaciones de Oriente Medio.

Además, Larson de Dragos cree que los actores del estado-nación probablemente usen ataques a las redes de fabricación como una forma de capacitación para comprometer otra infraestructura crítica.

«Ciertamente, existe una preocupación con el malware dirigido a ICS, como hemos visto con Trisys y CrashOverride, porque la fabricación podría ser un espacio de capacitación para muchos de estos adversarios en el desarrollo de ataques específicos de ICS y el paso de TI a OT», Larson. dice.

Los expertos continúan debatiendo qué industrias son atacadas con mayor frecuencia por grupos de ransomware. Mientras que Beazley Breach Reaction Services, por ejemplo, notó un aumento del 156% En el número de ataques de ransomware a empresas de fabricación en el primer trimestre del año, la firma de antivirus Sophos descubrió que la fabricación es la octava industria más atacada por grupos de ransomware en una encuesta world-wide de 5,000 gerentes de TI. Las empresas de medios, entretenimiento y TI en realidad encabezan la lista de víctimas de ransomware, según esa encuesta.y.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking at, MIT&#39s Engineering Assessment, Well-known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary