Aumento de los trucos oportunistas y el intercambio de información …


Los investigadores de seguridad de Mandiant han visto una ola creciente de ataques relativamente simplistas que involucran sistemas ICS, y atacantes que comparten sus hallazgos entre sí, desde 2020.

El descarado secuestro por parte de un atacante de un sistema de agua en la planta de tratamiento de agua de la ciudad de Florida de Oldsmar a principios de este año no fue una violación del nivel de Stuxnet o Triton. Pero la relativa simplicidad del ataque, en el que el intruso parecía haber obtenido de alguna manera las credenciales del sistema para controlar de forma remota la configuración a través de la aplicación TeamViewer, personifica la amenaza típica que enfrentan la mayoría de las redes OT en la actualidad: principalmente ataques rudimentarios que explotan los sistemas de regulate industrial (ICS) de manera inadvertida. expuestos a la Internet abierta o que abusan de credenciales compartidas o débiles crónicamente.

En muchos casos, las organizaciones industriales, aunque podría decirse que son una captura valiosa, no son el objetivo inicial del atacante, y un ataque ciberfísico no es el objetivo. Esa tendencia se subrayó el año pasado, según los investigadores del equipo de Inteligencia Física Cibernética de Mandiant. Identificaron un aumento noteworthy en los incidentes relacionados con OT desde 2020, y la mayoría de los actores no buscaban apagar las luces, envenenar el agua o realizar ningún resultado físico. Sus tácticas también eran menos que sofisticadas y, a menudo, ni siquiera buscaban objetivos de TO, sino que se habían topado con estas víctimas.

La investigación de Mandiant, publicada hoy, sobre incidentes de OT públicos informados públicamente y no previos muestra un aumento en los atacantes el año pasado que intentaron monetizar su acceso a un sistema ICS expuesto, y una ola de intercambio de información por parte de los atacantes que compartieron videos y capturas de pantalla de sistemas industriales a los que pudieron acceder y cómo lo hicieron, a un nivel más frecuente que Mandiant ha visto antes.

Estos incidentes han afectado los paneles de energía solar y los sistemas de command de agua, así como los sistemas de automatización de edificios (BAS) y los sistemas de seguridad del hogar. Los atacantes emplearon herramientas de búsqueda conocidas como Shodan y Censys, y tácticas, técnicas y procedimientos comunes (TTP).

«Estos son malos … pero no al nivel de Triton», dice Nathan Brubaker, gerente senior de análisis de Mandiant Menace Intelligence, sobre los eventos e incidentes de seguridad sobre los que su empresa informó hoy. Aun así, dice, esta mezcla de ciberdelincuentes, hacktivistas y novatos está adquiriendo conocimientos y conocimientos sobre entornos ICS complejos a través del intercambio de información cada vez mayor en el ciberespacio.

«Hay tutoriales que muestran a Shodan y cómo girar alrededor de él y encontrar servicios de agua y luego, desde allí, haga clic en esa HMI (interfaz hombre-máquina) que está expuesta. Y si no es necesario que se autentique, entonces puedes hacer lo que quieras «, dice.

Brubaker, quien trabajó en el equipo de respuesta a incidentes de Mandiant para el ataque de Triton, dice que eso le preocupa.

«Estos actores están desarrollando experiencia y voluntad (para hacer) contacto con otros actores. ¿Qué pasa si se encuentran con un grupo de ransomware» y combinan fuerzas, pregunta. «Eso haría que el ransomware tuviera más impacto en OT». Eso le preocupa.

Sergio Caltagirone de Dragos, vicepresidente de inteligencia de amenazas de la empresa de seguridad ICS, calificó el ataque de la ciudad de Oldsmar como «el ejemplo perfecto» del tipo de ataque ICS que su empresa ve con frecuencia. No se trata tanto del temido y sofisticado tipo de ataque de malware personalizado ICS por parte de piratas informáticos estatales con más recursos, sino de los actores de amenazas que ingresan a través de puertos desconocidos que quedan abiertos en la Net pública, o credenciales débiles o comprometidas.

«Una purple que no está preparada e indefendible, pero por una organización que hace todo lo posible pero que crónicamente carece de recursos y fondos para protegerse … es una confluencia de (más adversarios)» que persiguen las redes de ICS y una falla de estas redes para operar las prácticas de seguridad más básicas, dice Caltagirone.

Una vez que encuentran esa puerta entreabierta, o sin llave, a menudo pueden abrirse camino a través de la purple y «pueden presionar botones», dice.

Dragos a principios de este año publicó su informe anual sobre las tendencias de amenazas y ataques de ICS que vieron sus investigadores y personal de respuesta a incidentes: en todos los casos de respuesta a incidentes en los que trabajó, los atacantes obtuvieron acceso a la pink ICS de la víctima a través de World-wide-web, y se utilizaron credenciales de TI y OT compartidas para moverse lateralmente en la crimson.

Los investigadores de Mandiant descubrieron que los compromisos de baja sofisticación suelen explotar los servicios de acceso remoto, incluidas las conexiones de red digital que no están protegidas correctamente. Los HMI, por lo normal con interfaces gráficas de usuario fáciles de usar, brindan a un hacker de OT sin experiencia una visión práctica de los procesos industriales. En un incidente que vio el equipo, un atacante compartió imágenes y videos (en holandés) de su manipulación de un sistema de regulate de temperatura al que había tenido acceso se había jactado de haber pirateado docenas de sistemas de manage en América del Norte, Europa y Asia Oriental.

Algunos de los actores de amenazas que Mandiant ha observado parecen ser hacktivistas. Las redes de OT israelíes se encontraron con mayor frecuencia como víctimas en publicaciones que vieron, incluida una empresa de energía solar y un registrador de datos para la exploración minera y la vigilancia de presas. Un incidente involucró el acceso al sistema de automatización de edificios en una importante cadena hotelera internacional en Australia.

Pero también vieron algunos casos de actores de amenazas «verdes» que no sabían lo que habían comprometido: un grupo afirmó erróneamente haber pirateado un sistema de command ferroviario en alemán, pero la captura de pantalla que publicaron era en realidad la interfaz internet de un modelo de tren, descubrieron los investigadores. Otros atacantes se jactaron de haber comprometido un sistema de fuel israelí en represalia por la explosión reciente en una instalación de misiles iraní, Pero su video clip reveló que en realidad habían pirateado el sistema de ventilación de la cocina de un restaurante israelí.

Los atacantes que afirmaban haber pirateado un sistema de gasoline israelí habían comprometido el sistema de ventilación de la cocina de este restaurante israelí. Fuente: Mandiant

Regulaciones de oleoductos en el horizonte
Mientras tanto, el gobierno federal de los EE. UU. Está a punto de redoblar la protección de la infraestructura crítica con algunas reglas nuevas.

El Washington Put up informó hoy que el Departamento de Seguridad Nacional de EE. UU. (DHS) está avanzando con un strategy para normal la seguridad cibernética para la industria de oleoductos por primera vez a raíz del ataque de ransomware en Colonial Pipeline. La compañía cerró su tubería durante 11 días este mes en respuesta al ataque de ransomware en sus sistemas de TI, y finalmente pagó a los atacantes 4,4 millones de dólares para desencriptar sus sistemas bloqueados. El cierre de Colonial Pipeline provocó escasez de gasolina en algunas áreas, así como compras de pánico en partes del sureste de Estados Unidos. El FBI ha vinculado al grupo de ransomware como servicio (RaaS) DarkSide al ataque.

Se espera que la Administración de Seguridad del Transporte (TSA, por sus siglas en inglés) del DHS emita esta semana una directiva de seguridad que requiera que las empresas de oleoductos informen los ataques cibernéticos a los federales y evalúen y remedian sus posturas de seguridad, según el informe de The Washington Article.

El ataque de ransomware Colonial Pipeline proporcionó una pista de cómo podría ser la interrupción de la infraestructura crítica, y más amenazas de ransomware se vislumbran en el horizonte para las empresas de servicios públicos. Una familia de ransomware en rápida evolución llamada JSWorm parece apuntar ahora a organizaciones de infraestructura crítica en todo el mundo, según investigadores de Kaspersky. Alrededor del 41% de los ataques de JSWorm afectaron a empresas de ingeniería y fabricación, seguidas de energía y servicios públicos (10%), finanzas (10%), servicios profesionales y al consumidor (10%), transporte (7%) y atención médica (7%).

La pandilla JSWorm en dos años ha creado más de ocho caras diferentes de su malware, que anteriormente se conocía por sus variantes Nemty, Milihpen y Gangbang. El grupo detrás de él, que inicialmente operaba bajo un modelo de ransomware como servicio, cerró el año pasado esa operación y lanzó campañas dirigidas contra objetivos de alto perfil, exigiendo grandes pagos de rescate. los investigadores encontraron.

Defensa OT
Mantener los sistemas de TO fuera de la World wide web pública es clave: Mandiant recomienda bloquear el acceso remoto, monitorear el tráfico para detectar cualquier actividad nefasta y deshabilitar cualquier purple u otros servicios que no estén en uso, así como cambiar las credenciales predeterminadas, incluir el acceso en la lista blanca y revisar el dispositivo y otras configuraciones del sistema. Los sistemas HMI e ICS deben configurarse para imponer rangos específicos de entrada de modo que eviten resultados físicos peligrosos, y las organizaciones deben asegurarse de que ninguno de sus equipos sea «detectable» por las herramientas de Shodan y Censys, aconseja Mandiant en su informe.

Kelly Jackson Higgins es la editora ejecutiva de Dim Looking at. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Protected Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary