Así han sido los ciberataques a empresas industriales en la primera parte del año
Ampliar

Así han sido los ciberataques a empresas industriales en la primera parte del año

lunes 08 de junio de 2020, 14:10h

google+

linkedin

Comentar

WhatsApp

A principios de 2020, los investigadores de Kaspersky descubrieron una serie de ataques dirigidos contra organizaciones industriales en diversas regiones. Los atacantes utilizaron documentos maliciosos de Office, scripts de PowerShell y diversas técnicas para dificulta la detección y análisis de sus programas.

Los ataques dirigidos a sistemas de Japón, Italia, Alemania y Reino Unido, principalmente, incluida una lista de objetivos con proveedores de equipos y software para empresas industriales.

Según el informe de la firma de ciberseguridad rusa, los atacantes empleaban técnicas como la esteganografía, una ingeniosa tecnología de ocultamiento de información que les permitía adentrarse en los sistemas sin ser detectados.

"Es de vital importancia garantizar la protección de las estaciones de trabajo y los servidores, tanto de las redes tecnológicas corporativas como de las operativas"

Este tipo de ciberataques atraen la atención de la comunidad de la ciberseguridad por su sofisticación y porque se centran en empresas con un valor crítico ya que “cualquier interrupción de su actividad podría tener diversas consecuencias, desde el éxito del espionaje industrial hasta pérdidas financieras generalizadas”, explican.

"El ataque demuestra una vez más que para que las instalaciones de energía eléctrica funcionen de manera fiable, es de vital importancia garantizar la protección de las estaciones de trabajo y los servidores, tanto de las redes tecnológicas corporativas como de las operativas. Aunque una protección fuerte de los endpoints puede ser suficiente para evitar ataques similares, en este caso, recomendamos utilizar un enfoque más completo para la ciberdefensa de una instalación industrial”, apunta Anton Shipulin, jefe de la división de soluciones de Kaspersky Industrial CyberSecurity.

Los ataques a través de empresas adjudicatarias y proveedores “pueden tener puntos de entrada completamente diferentes dentro de la empresa, incluidos los de la red de OT”, explica Shipulin.

Phishing personalizado

En una fase inicial, los ataques utilizaron correos electrónicos de phishing, que se adaptaron y personalizador al lenguaje específico de cada víctima. El malware utilizado en este ataque realizaba actividades destructivas sólo si el sistema operativo tenía una localización que coincidida con el lenguaje utilizado en el correo electrónico de phishing.

En uno de los casos, un ciberataque contra una empresa de Japón contenía un texto en el correo electrónico y el documento de Microsoft Office que contenía la macro maliciosa escritas en japonés. Además, para desencriptar con éxito el módulo de malware, el OS debía tener una localización también en japonés.

El malware utilizado en este ataque realizaba actividades destructivas sólo si el sistema operativo tenía una localización que coincidida con el lenguaje utilizado

En un análisis más detallado, se demuestra que los atacantes emplearon la utilidad Mimikatz para robar los datos de autenticación de las cuentas de Windows almacenadas en un sistema comprometido.

Esto permitía a los atacantes utilizar la información para acceder a otros sistemas dentro de la red de la empresa y desarrollar sus ataques, una situación “especialmente peligrosa” cuando se obtienen acceso a las cuentas con derechos de administrador del dominio.

Detalle del esquema de los ataques

La compañía destaca que en todos los casos el malware fue bloqueado por sus soluciones de ciberseguridad, pero reconocen que “el objetivo final de los criminales sigue siendo desconocido”.

"Este ataque atrajo la atención debido a la utilización por parte de los atacantes de varias soluciones técnicas no estándar"

"Este ataque atrajo la atención debido a la utilización por parte de los atacantes de varias soluciones técnicas no estándar”, advierte Vyacheslav Kopeytsev, experto en seguridad de Kaspersky. “Por ejemplo, el módulo de malware está codificado dentro de la imagen utilizando métodos de esteganografía, y la propia imagen está alojada en recursos web legítimos. Todo ello hace casi imposible detectar la descarga de ese malware mediante herramientas de vigilancia y de control del tráfico de la red: desde el punto de vista de las soluciones técnicas, esa actividad no difiere del acceso habitual al alojamiento legítimo de la imagen. Junto con el carácter dirigido de las infecciones, estas técnicas indican el carácter sofisticado y selectivo de estos ataques”, señala Kopeytsev.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+

0 comentarios