En los primeros seis meses de 2019, las soluciones de Kaspersky se activaron a nivel mundial en casi la mitad de las computadoras de los sistemas de control industrial (ICS, por sus siglas en inglés) del sector energético. Las tres principales ciberamenazas fueron gusanos, spyware y mineros (extractores de criptomonedas); entre ellos se combinaron para formar casi el 14% de las computadoras afectadas en los ataques dirigidos. Estas son algunas de las principales conclusiones del Informe Kaspersky ICS CERT sobre el panorama de amenazas industriales en la primera mitad de 2019.
Los incidentes cibernéticos industriales se encuentran entre los más peligrosos, pues pueden provocar tiempos de inactividad de producción y pérdidas financieras tangibles, y además son muy difíciles de superar. Este es el caso cuando el incidente ocurre en sectores fundamentales como el energético. Las estadísticas para el primer semestre de 2019, procesadas automáticamente por las tecnologías de seguridad de Kaspersky, han demostrado que quienes administran soluciones de energía no deben bajar la guardia. En general, durante el período de tiempo observado, los productos de Kaspersky se activaron en el 41,6% de las computadoras ICS en el sector energético. Una gran cantidad de muestras de malware convencionales, no diseñadas para ICS, fueron bloqueadas.
Entre los programas maliciosos que fueron bloqueados, los extractores de criptomonedas (2,9%), gusanos (7,1%) y una variedad de spyware versátil (3,7%) representaban el mayor peligro. La infección con dicho malware puede afectar negativamente la disponibilidad e integridad del ICS y de otros sistemas que forman parte de la red industrial. Entre estas amenazas detectadas, algunas son de particular interés.
Esto incluye AgentTesla, un malware espía troyano especializado, diseñado para robar datos de autenticación, instantáneas de pantalla y datos capturados de la cámara web y el teclado. En todos los casos analizados, los atacantes enviaron datos a varias compañías a través de buzones infectados. Además de la amenaza de malware, los productos de Kaspersky también identificaron y bloquearon casos de la puerta trasera Meterpreter que se usaba para controlar a distancia las computadoras en las redes industriales de sistemas de energía. Los ataques que usan la puerta trasera son dirigidos y sigilosos y a menudo se llevan a cabo en modo manual. La capacidad de los atacantes para controlar las computadoras ICS infectadas de forma sigilosa y a distancia representa una gran amenaza para los sistemas industriales. Por último, pero no menos importante, las soluciones de la compañía detectaron y bloquearon Syswin, un nuevo gusano limpiador escrito en Python y empaquetado en el formato ejecutable de Windows. Esta amenaza puede tener un impacto considerable en las computadoras ICS debido a su capacidad de autopropagarse y destruir datos.
El sector energético no fue el único que enfrentó objetos y actividades maliciosas. Otras industrias, analizadas por expertos de Kaspersky, tampoco mostraron ningún motivo de alivio, ya que la fabricación automotriz (39,3%) y la automatización de edificios (37,8%) ocupan el segundo y el tercer lugar en cuanto al porcentaje de computadoras ICS en las que fueron bloqueados objetos maliciosos.
Otras conclusiones del informe incluyen:
- En promedio, las computadoras ICS no funcionan completamente dentro de un perímetro de seguridad típico de los entornos corporativos y, en gran medida, están protegidas contra muchas amenazas, también importantes para los usuarios en el hogar, utilizando sus propias medidas y herramientas. En otras palabras, las tareas relacionadas con la protección del segmento corporativo y el segmento ICS hasta cierto punto no están relacionadas.
- En general, el nivel de actividad maliciosa dentro del segmento ICS está conectado con la actividad de malware “de fondo” en el país.
- En promedio, en países donde la situación con la seguridad del segmento ICS es favorable, los bajos niveles de computadoras ICS atacadas son atribuibles a medidas y herramientas de protección que se utilizan en lugar de un nivel de actividad maliciosa de fondo generalmente bajo.
- Los programas maliciosos que se autopropagan son muy activos en algunos países. En los casos analizados, se trataba de gusanos (objetos maliciosos de la clase Worm) diseñados para infectar medios extraíbles (unidades flash USB, discos duros extraíbles, teléfonos móviles, etc.). Parece que las infecciones con gusanos empleando medios extraíbles es el escenario más común que podría suceder en las computadoras ICS.
“Las estadísticas recopiladas, así como el análisis de las amenazas cibernéticas industriales, son un recurso comprobado para evaluar las tendencias actuales y predecir para qué tipo de peligro deberíamos estar todos preparados. Este informe ha identificado que los expertos en seguridad deben ser especialmente cautelosos con el software malicioso que tiene como objetivo robar datos, espiar objetos de importancia crítica, penetrar en el perímetro y destruir los datos. Todos estos tipos de incidentes podrían causar muchos problemas a la industria”, dice Kirill Kruglov, investigador de seguridad de Kaspersky.
Kaspersky ICS CERT recomienda implementar las siguientes medidas técnicas:
- Actualizar periódicamente los sistemas operativos, el software de las aplicaciones y las soluciones de seguridad en los sistemas que forman parte de la red industrial de la empresa.
- Restringir el tráfico de la red en los puertos y protocolos utilizados en los enrutadores de la periferia y dentro de las redes OT de la organización.
- Inspeccionar el control de acceso para componentes ICS en la red industrial de la empresa y en sus límites.
- Proporcionar capacitación y apoyo regulares dedicados para los empleados, así como a socios y proveedores con acceso a su red OT/ICS.
- Implementar una solución de protección dedicada a endpoints, como Kaspersky Industrial CyberSecurity en servidores ICS, estaciones de trabajo y HMIs para proteger la infraestructura OT e industrial contra ataques cibernéticos aleatorios; y soluciones de monitoreo, análisis y detección del tráfico de la red para una mejor protección contra ataques dirigidos.