El ransomware interrumpe las operaciones en Packaging Large …



El incidente es otro recordatorio de cuán vulnerables son los entornos de OT para atacar, dicen los expertos en seguridad.

Las operaciones de la empresa de envasado WestRock, valorada en 17.000 millones de dólares, se vieron interrumpidas el sábado por un ataque de ransomware que afectó sus redes de tecnología operativa y de TI (OT).

El ataque ya ha causado, y probablemente seguirá causando, retrasos en algunas partes del negocio de la compañía, anunció WestRock el lunes, sin ofrecer detalles sobre la naturaleza del ataque o las interrupciones.

«Estamos trabajando día y noche para completar nuestra investigación y restaurar las operaciones normalizadas lo más rápido posible», dijo Steve Voorhees, director ejecutivo de WestRock, en un declaración. «Los equipos de WestRock están tomando medidas extraordinarias para mantener operativos nuestros molinos y plantas de conversión y para entregar de manera segura a nuestros clientes».

La declaración señaló que WestRock está trabajando con los proveedores de seguridad en los esfuerzos de recuperación del sistema y en la minimización del impacto en los clientes. La compañía describió el incidente como probablemente conducente a una pérdida de ingresos y costos incrementales que podrían afectar sus resultados.

El incidente del ransomware en el gigante del papel y el embalaje es otro recordatorio de la naturaleza altamente vulnerable de los entornos OT en muchas organizaciones, dice John Livingston, director ejecutivo de Verve Industrial. En los últimos años, un número cada vez mayor de empresas se han conectado a Web sistemas de command industrial y redes OT que alguna vez se separaron por aire, por diversas razones.

Pero pocos han implementado algún tipo de seguridad para proteger los dispositivos terminales en estas redes. De hecho, además de algunos tipos básicos de DMZ y otros controles de purple, muchos de los Computer, componentes de pink y dispositivos integrados, en su mayoría con Home windows, como controladores industriales y controladores lógicos programables (PLC), en redes OT están desprotegidos y abiertos a explotación. Livingston dice.

Por ejemplo, los dispositivos de Home windows en la configuración de OT se usan generalmente para controlar activos críticos, pero a menudo no están conectados al entorno de Energetic Directory de la organización, por lo que no hay una forma true de administrar usuarios y cuentas. De manera comparable, muchos sistemas PLC y otros sistemas en redes de TI son inseguros por diseño porque nunca fueron diseñados para estar conectados a World-wide-web o formar parte de una red conectada a Online. No es inusual que el acceso a estos dispositivos ni siquiera esté protegido por contraseña.

Además, Home windows y otros sistemas críticos en entornos OT a veces no se han parcheado en años debido a preocupaciones sobre los parches que causan problemas potenciales o porque el proveedor del dispositivo no siempre aprueba los parches, dice Livingston. «Nuestra opinión es que tenemos que llevar la gestión de seguridad de TI al entorno de OT», dice.

Las preocupaciones sobre las amenazas de ransomware dirigidas al entorno de OT han aumentado durante el último año. En julio pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una alerta instando a las organizaciones en los sectores de infraestructura crítica a reforzar la seguridad en su entorno de OT y sistema de manage.

«Los activos de OT heredados que no fueron diseñados para defenderse de actividades cibernéticas maliciosas, combinados con información fácilmente disponible que identifica los activos de OT conectados a través de Online, están creando una &#39tormenta perfecta&#39», advirtió la agencia. los consultivo destacó el fácil acceso a los activos no seguros que los entornos de OT presentaban a los atacantes, la fácil disponibilidad de información de código abierto sobre dispositivos críticos en las redes de OT y una extensa lista de marcos de exploits fácilmente implementables, como Metasploit y Core Impression.

Hasta ahora, muchas de las intrusiones en los entornos de OT han sido el resultado de violaciones de la pink de TI y una falta de segmentación adecuada entre los dos. Livingston, por ejemplo, dice que casi todas las infracciones de OT que Verve ha observado sucedieron de esta manera. Eric Byres, director ejecutivo de Adolus, dice que es probable que la pink OT de WestRock haya sido víctima de daños colaterales. «Hay suficiente equipo relacionado con TI en la planta promedio que sufre muchos daños colaterales» con el malware, dice.

Pero cada vez hay más indicios de que los atacantes pueden estar comenzando a perseguir específicamente los activos OT.

El año pasado, un FireEye análisis descubrió que las «listas de eliminación» utilizadas por los atacantes para cerrar procesos clave en sistemas y redes antes de implementar ransomware, han comenzado a incluir cada vez más también procesos OT. Específicamente, el proveedor de seguridad encontró dos listas de asesinatos únicas que contienen procesos OT que utilizan los operadores de siete familias de ransomware prolíficas, incluidas Maze, DoppelPaymer, LockerGoga y MegaCortex.

«A medida que las redes OT continúan volviéndose más accesibles para los actores de amenazas de todas las motivaciones, las amenazas de seguridad que históricamente han impactado principalmente a la TI se están volviendo más comunes», concluyó FireEye. «Esta normalización de OT como una pink más desde la perspectiva del actor de amenazas es problemática para los defensores».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique