- Dragos, una empresa de ciberseguridad con sede en Hanover, Maryland, detectó una nueva forma de ransomware destinado a los sistemas de control industrial (ICS).
- La amenaza, conocida como Snake y Ekans, podría afectar las plantas de fabricación y los servicios públicos.
- Esto es diferente de las instancias anteriores de intromisión industrial porque los atacantes parecen ser cibercriminales, en lugar de piratas patrocinados por el estado.
Si usa electricidad, o cualquier otra empresa de servicios públicos, tenemos algunas malas noticias: un nuevo tipo de ransomware que apunta a sistemas de control industrial ha sido documentado por una empresa de ciberseguridad con sede en Hanover, Maryland, llamada Dragos.
El malware de cifrado de archivos, conocido como Snake o Ekans (no Pokémon), apareció por primera vez en diciembre de 2019. Dragos señala en su informe que la amenaza del ransomware parece ser “relativamente sencilla” ya que cifra archivos y muestra una nota de rescate en la pantalla, solicitando el pago para devolver el control de las computadoras. Pero hay algo más oscuro sobre este malware.
“Si bien todas las indicaciones en la actualidad muestran un mecanismo de ataque relativamente primitivo en las redes del sistema de control, la especificidad de los procesos enumerados en una ‘lista de asesinatos’ estática muestra un nivel de intencionalidad previamente ausente del ransomware dirigido al espacio industrial”, según el informe.
Esto significa que los hackers construyeron específicamente este software malicioso para entornos industriales como redes eléctricas, plantas de fabricación, refinerías de petróleo y plantas de tratamiento de aguas residuales. Ataques de piratería en el pasado en sistemas de control industrial, como el apagón de 2016 en Ucrania y el ataque de Tritón de 2017 en las instalaciones de Medio Oriente–se han centrado en los sistemas de TI antes de desangrarse en entornos industriales.
“La naturaleza específica de ICS de los procesos específicos indica una descarada evolución”, dijo Joe Slowik, principal cazador de adversarios en Dragos. ZDNet.
Dragos descubrió que Ekans podía detener 64 procesos de software diferentes en sistemas Windows, y muchos de ellos tratan con controles industriales específicos. Bajo este marco, los datos de las computadoras de una víctima se encriptan y bloquean, lo que podría conducir a sistemas de monitoreo defectuosos para cosas como robots de fábrica. Esto significa que no hay forma de detener este equipo hasta que la compañía pague un rescate de criptomonedas.
Según Dragos, esta es la primera instancia real de malware de cifrado de archivos creado específicamente para atacar entornos de fabricación y servicios públicos, pero no es la primera instancia de intentos de ransomware en controles industriales. El ataque de malware Triton en 2017 fue la primera vez que el malware atacó los sistemas de control y seguridad. Estaba destinado a meterse con los controladores de apagado de emergencia de Schneider Electric y solo se descubrió porque los atacantes activaron accidentalmente el malware y cerraron la planta.
Por supuesto, los actores estatales han estado atacando los sistemas industriales durante al menos una década. En 2010, los archivos maliciosos creados por el virus informático Stuxnet paralizaron las centrifugadoras de enriquecimiento de uranio de Irán al atacar las computadoras que los controlaban. Luego, el apagón de 2016 en Ucrania dejó una estación de transmisión eléctrica al norte de Kiev fuera de servicio durante una hora.
Si bien algunos informes han vinculado a Ekans con Irán, luego de un ataque aéreo letal de Estados Unidos que mató al comandante iraní Qassem Soleimani, Dragos concluyó que “no hay evidencia contundente o convincente” para vincular el malware con Irán.
En cambio, parece ser el trabajo de ciberdelincuentes independientes que buscan ganancias financieras, algo que probablemente se volverá más común en el futuro.
Source link