Los investigadores dicen que han aparecido tres nuevos grupos de amenazas dirigidos al sector industrial, pero más de la mitad de todos los ataques son obra de solo dos equipos de ciberdelincuentes conocidos.
Los ataques cibernéticos lanzados contra jugadores industriales, proveedores de infraestructura crítica, servicios públicos y empresas de energía, ya sea petróleo, gas o energías renovables, a menudo tienen menos que ver con ganar dinero rápido y más con el robo de datos o causar interrupciones en el mundo real.
Los incidentes de ransomware experimentados por Colonial Pipeline y JBS llamaron la atención sobre las ramificaciones de los ataques digitales en las cadenas de suministro.
Después de que Colonial Pipeline detuviera temporalmente los servicios de entrega para investigar un ataque cibernético, se produjo un pánico en la compra de combustible en partes de los Estados Unidos. JBS, una empacadora de carne global, pagó un rescate de $11 millones, pero esto no fue suficiente para evitar retrasos en los precios de la carne y una caída en la matanza de ganado debido a la incertidumbre del mercado.
Los ciberataques industriales, especialmente los realizados por grupos de amenazas persistentes avanzadas (APT), también pueden ser de naturaleza política.
Se está gestando una tensión entre Rusia y Ucrania, y el primero ha sido acusado de ser responsable de los ataques cibernéticos en curso, incluido un ataque de denegación de servicio distribuido (DDoS) en sitios web del gobierno. Los servicios financieros en el país también se han visto afectados.
El Kremlin ha negado cualquier implicación. Rusia también ha sido acusada de un ciberataque en 2015 que derribó la red eléctrica de Ucrania.
También: El oso primitivo ruso APT ataca el departamento del gobierno occidental en Ucrania a través de la búsqueda de empleo
Los funcionarios ucranianos también señalaron con el dedo a Rusia por intentar deliberadamente sembrar el pánico a través de la interrupción, y como hemos visto en ataques anteriores basados en infraestructura contra empresas privadas, el público en general y su comportamiento ciertamente pueden verse afectados por tales actividades.
En el quinto informe Year In Review de Dragos sobre las amenazas del Sistema de control industrial (ICS) y la Tecnología operativa (OT), la empresa de ciberseguridad dijo que se han descubierto tres nuevos grupos «con la motivación evaluada de apuntar a ICS/OT».
El descubrimiento se produce inmediatamente después de la investigación del año pasado que detalló las hazañas de otros cuatro grupos de actividad, denominados Stibnite, Talonite, Kamacite y Vanadinita.
Los nuevos grupos de actividad de Dragos se denominan Kostovite, Petrovite y Erythrite.
kostovita: En 2021, Kostovite apuntó a una importante organización de energía renovable. Los actores de amenazas utilizaron una vulnerabilidad de día cero en la solución de software de acceso remoto Ivanti Connect Secure para obtener acceso directo a la infraestructura de la empresa, moverse lateralmente y robar datos.
Kostovite tiene instalaciones específicas en América del Norte y Australia.
Este grupo se superpone con UNC2630, un grupo de ciberataques de habla china, y está asociado con 12 familias de malware.
Petrovita: Apareciendo en escena en 2019, Petrovite se ha centrado con frecuencia en empresas de minería y energía en Kazajstán. Este grupo hace uso de la puerta trasera de Zebrocy y realiza un reconocimiento general.
Eritrita: Erythrite, activo desde al menos 2020, es un grupo de amenazas que generalmente se dirige a organizaciones en los EE. UU. y Canadá. La lista de objetivos es amplia e incluye petróleo y gas, fabricantes, empresas de electricidad y un miembro de Fortune 500.
«Erythrite realiza un envenenamiento de motores de búsqueda altamente efectivo y la implementación de malware para robar credenciales», dice Dragos. «Su malware se lanza como parte de un ciclo de desarrollo rápido diseñado para ser evasivo para la detección de puntos finales. Erythrite tiene superposiciones técnicas con otro grupo etiquetado por múltiples organizaciones de seguridad de TI como Solarmarker».
Kostovite y Erythrite han demostrado las habilidades para realizar intrusiones sofisticadas, «con un enfoque en las operaciones de acceso y el robo de datos sobre la interrupción», según Dragos.
«[These] los adversarios están dispuestos a gastar tiempo, esfuerzo y recursos en apuntar, comprometer y recolectar información de entornos ICS/OT para propósitos futuros», dice Dragos.
Los nuevos jugadores en escena se unen a Lockbit 2.0 y Conti, que se estima que son responsables del 51% de todos los ataques de ransomware en el sector manufacturero.
Además, Dragos investigó el estado general de la seguridad industrial. Según la firma, la clasificación de amenazas OT es «increíblemente difícil a escala», ya que el 86% de los compromisos tienen una falta de visibilidad de la red.
Las conexiones externas no detectadas anteriormente, las credenciales compartidas y la segmentación de red incorrecta eran problemas comunes de seguridad de OT, y más del doble, la cantidad de vulnerabilidades CVE relacionadas con la industria se publicó en 2021 en comparación con 2020.
Dragos dice que más de un tercio de los avisos de CVE también contienen datos inexactos y errores cuando se trata de ICS/OT, lo que dificulta el desafío de parchear correctamente las vulnerabilidades emergentes. Además, el 65 % de los avisos de vulnerabilidades públicas tenían un parche disponible pero ningún medio alternativo de mitigación.
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0