Boletín de seguridad de Kaspersky

Ciberamenazas para las industrias e infraestructuras de TO en 2024

No creemos que haya cambios drásticos en el panorama de las amenazas cibernéticas para las empresas industriales en 2024. La mayoría de las tendencias que se describen a continuación ya se vienen observando desde hace años. Sin embargo, en algunos ámbitos se ha acumulado una masa crítica de cambios a primera vista invisibles que podrían dar lugar a un cambio cualitativo en el panorama de las amenazas que podría producirse el próximo año.

Extorsionadores

  • Los extorsionadores seguirán siendo el principal azote de las empresas industriales en 2024.

    En 2023, los ataques de ransomware se afianzaron en la primera posición del ranking de amenazas de seguridad informática para empresas industriales. Tras analizar las declaraciones oficiales de las organizaciones afectadas por incidentes cibernéticos en el primer semestre de 2023, se encontró que en al menos uno de cada seis casos, un ataque de ransomware había paralizado la producción o el suministro de productos. En algunos casos, los perjuicios provocados por el ataque llegaron a estimarse en cientos de millones de dólares. Por el momento, no vemos razones para que la situación cambie en el futuro próximo.

  • Los ataques de ransomware a grandes organizaciones o a proveedores de productos únicos en su género (equipos, materiales), grandes empresas de logística y transporte pueden acarrear graves consecuencias económicas y sociales.

    Ya en la actualidad, al menos el 18% de los ataques de ransomware a empresas industriales, según confirmaciones oficiales de las empresas atacadas han conducido a interrupciones en la producción o suministro de productos. Al mismo tiempo, está claro que los atacantes apuntan al “segmento superior” al elegir objetivos, siendo sus víctimas preferidas las grandes organizaciones que pueden pagar elevados rescates.

    Esto crea una situación en la que los atacantes, a sabiendas o por imprudencia, pueden cruzar de nuevo la línea tras la cual las consecuencias de un ataque pasan a afectar a la infraestructura, como ocurrió con el ataque a Colonial Pipeline. El reciente atentado contra DP World, empresa de logística y transporte de contenedores con sede en Dubai, provocó el cierre parcial de los puertos de Sydney, Melbourne y Brisbane, donde quedaron varados unos 30 000 contenedores.

  • El mercado de la extorsión se dirige a su punto más alto, al que puede seguir su declive o estancamiento. Es poco probable que las víctimas potenciales estén fuera del alcance de los ataques en el corto plazo. Pero pueden aprender a mitigarlos con mayor eficacia (por ejemplo, invirtiendo en la seguridad de sus datos más sensibles y organizando los procesos adecuados de copia de seguridad y respuesta a incidentes).

    Si, como resultado, las víctimas empiezan a pagar menos dinero y con menor frecuencia, los atacantes tendrán que buscar nuevos tipos de objetivos y nuevos esquemas de monetización de los ataques. He aquí algunos ejemplos de las posibles vías de desarrollo:

    1. Los ataques a empresas de logística y transporte podrían no dirigirse a la infraestructura informática que sustenta las operaciones, sino a los propios vehículos (automóviles, barcos).

      A primera vista, la realización de un ataque de este tipo podría verse dificultada por la gran variedad de vehículos que componen las flotas y parques de mantenimiento, lo que multiplicaría los costes de desarrollo para los atacantes y, en consecuencia, encarecería el ataque. Sin embargo, un ataque puede no estar dirigido a un propietario u operador en particular, sino a serie de vehículos de determinado tipo cuyos sistemas de control internos sean iguales o similares.

      Otro factor que simplifica el ataque es que los propietarios y operadores de flotas instalan en los vehículos sus propios sistemas de telemetría, que a menudo tienen funciones de control remoto (por ejemplo, para flashear a distancia el sistema o para cambiar la lista de datos que recopila). A veces los fabricantes de vehículos y los proveedores de diversos servicios también instalan sistemas similares. Por lo tanto, el uso de este vector de ataque es bastante probable.

      En el caso de tal ataque, la víctima no podrá restaurar las actividades operativas por sí misma sin incurrir en costos incompatibles con la continuidad del negocio. Restaurar (por ejemplo, desde copias de seguridad) el funcionamiento de los sistemas informáticos cifrados es mucho más fácil que resolver un problema técnico simple (por ejemplo, eliminar el malware que impide el arranque del motor de un camión o corta el suministro eléctrico de los sistemas de un barco) en vehículos dispersos en una gran área. Es probable que las empresas se vean incapaces de resolver el problema por su cuenta en un plazo razonable y con pérdidas financieras aceptables.

    2. El mismo vector es también pertinente para los propietarios y operadores de diversas maquinarias especiales que operan en lugares remotos y de difícil acceso, por ejemplo, en la industria minera o en la agricultura.
    3. Garantizar la seguridad cibernética de muchos objetos de difícil acceso es un problema que atañe a las compañías de petróleo y gas, las organizaciones que prestan servicios públicos y, en general, cualquier organización que tenga una infraestructura de TO distribuida en amplios territorios. Un ataque contra objetivos remotos y de difícil acceso que impida la recuperación remota (por ejemplo, si el canal de acceso remoto habitual está bloqueado por el malware) garantiza el pago del rescate.
    4. Las formas no estándar de monetización (por ejemplo, a través de especulación en la bolsa de valores) de los ataques a empresas de gran importancia económica, como las grandes organizaciones de transporte y logística, grandes empresas mineras, fabricantes y proveedores de materiales (por ejemplo, metales, aleaciones y compuestos), productos agrícolas y alimentos, proveedores de productos muy específicos o de gran demanda, cuya falta es difícil de compensar con celeridad (microchips, fertilizantes, etc.).

      Las interrupciones en el suministro de productos de estas empresas pueden afectar en gran medida el precio de mercado de los productos. Al mismo tiempo, aparte de las consecuencias directas, pueden ocurrir reacciones en cadena y efectos secundarios colaterales. Recordemos cómo el ataque Shamoon a Saudi Aramco afectó repentinamente al precio de los discos duros en los mercados mundiales, después de que la empresa tomara la repentina decisión de sustituir los discos duros de todos las computadoras afectadas por otros nuevos.

Hacktivistas

  • Las acciones de hacktivistas con motivaciones políticas a lo largo de líneas de tensión geopolítica tendrán consecuencias más devastadoras.

    Todos recordamos los sensacionales ataques hacktivistas contra el transporte ferroviario y las gasolineras en Irán en 2022. Y en el pasado año 2023, el ataque contra los sistemas de suministro de agua para riego en Israel, la serie de ataques contra PLC israelíes Unitronics Vision que tuvieron como objetivo instalaciones de suministro de agua en Estados Unidos e Irlanda, y el último ataque dirigido (de nuevo) contra gasolineras iraníes. A diferencia del efecto mediático que tuvieron, en todos estos casos la magnitud real de los daños causados por los delincuentes fue bastante modesta.

    Sin embargo, en los últimos ataques, los hacktivistas han demostrado que pueden vulnerar hasta los sistemas de tecnología operativa. En varios de los casos investigados por Kaspersky ICS CERT en los últimos años, a los atacantes les faltó sólo un poco de preparación y persistencia para llegar a causar daños físicos. La escalada de las tensiones bien podría llevar a que los ataques de hacktivistas políticos pasen a un nivel cualitativamente nuevo y se vuelvan más peligrosos.

  • Además de los movimientos de protesta dentro de los países, en un contexto de crecientes tensiones sociales (debido a conflictos religiosos y étnicos y a la creciente inestabilidad económica en muchas partes del mundo), asistiremos al desarrollo de movimientos de protesta cosmopolitas apoyados por hacktivistas, como consecuencia de la imposición de una nueva agenda sociocultural y macroeconómica. En particular, el tema de la ecología y las tecnologías “verdes” (energías renovables, coches eléctricos, etc.) generará tanto el apoyo como la protesta de los “eco-hacktivistas”. Un ejemplo es el atentado contra una empresa minera en Guatemala, reivindicado por el grupo Guacamaya Roja.
  • El auge generalizado de movimientos hacktivistas, cada uno con su propia motivación, conducirá al desarrollo de un hacktivismo anárquico: muchos ataques se llevarán a cabo sin justificación explícita, sólo por diversión, como en el caso del Laboratorio Nacional de Idaho, que fue atacado por hacktivistas de SiegedSec.

De la “zona gris” al “lado oscuro”

  • El uso generalizado de “técnicas ofensivas de ciberseguridad” para la recopilación de información sobre ciberamenazas tendrá consecuencias positivas y negativas.

    Por un lado, aumentará en cierto grado la seguridad de las organizaciones, ya que la inteligencia ofensiva sobre ciberamenazas podrá extraer indicadores de compromiso no sólo de la telemetría de defensa, la investigación de incidentes, las fuentes indirectas y la Darkweb (como hacen los proveedores “tradicionales” de CTI), sino también directamente de la infraestructura controlada por los atacantes. Esto permitirá a las víctimas restaurar la seguridad de sus sistemas de una manera más eficiente y rápida.

    Por otra parte, al convertirse en una nueva norma, aunque no esté oficialmente legalizada, pero que se aplica con el consentimiento tácito de los estados, el uso de métodos ofensivos de ciberinteligencia tendrá consecuencias negativas: la línea que separa la “zona gris” del “lado oscuro” es a veces muy tenue, y la tentación de cruzarla podría ser irresistible. Con el pretexto de que necesitan protección contra un agresor, las corporaciones, siguiendo el ejemplo de los estados, aumentarán la demanda de dichos servicios, incluso para fines no relacionados con la ciberseguridad. Y algunas empresas industriales también pueden entrar “en el juego”. Esto es muy probable en los ecosistemas de alta competitividad, como la construcción, la minería, la energía y algunos otros sectores industriales.

    Estas actividades cibernéticas serán aún más selectivas de lo que estamos acostumbrados a ver en las operaciones APT. El arsenal incluirá sobre todo herramientas comerciales y de código abierto para que la actividad pase inadvertida en medio de la gran cantidad de ataques de los ciberdelincuentes. En consecuencia, este tipo de operaciones se detectarán e investigarán incluso con menos frecuencia que las operaciones de APT.

Amenazas relacionadas con la logística y el transporte

  • La continua y rápida automatización y digitalización de la logística y el transporte dará lugar a:
    1. Una mayor fusión de la ciberdelincuencia con la delincuencia común y corriente, en particular en áreas tradicionales como:
      • Robo de automóviles y otros medios de transporte utilizando medios cibernéticos (esto último tiene especial relevancia para los autos de marcas asiáticas y para los nuevos fabricantes de automóviles que utilizan políticas agresivas para entrar en el mercado mundial, debido a que se pronostican problemas relacionados con su (in)madurez en ciberseguridad);
      • Piratería e interrupción de las cadenas de suministro por medios cibernéticos, prolongación lógica de los ataques con tecnologías modernas, como los recientes atentados contra el sistema AIS (Automated Tracking System) en el Mar Rojo y el Océano Índico o el ataque al puerto iraní de Shahid Rayyeh en 2020.
      • Robo de mercancías por medios cibernéticos;
      • Transporte e importación/exportación ilegal de mercancías (contrabando), como continuación lógica de la historia de la banda Ocean’s 13 en el puerto de Amberes;
      • Otros fraudes en operaciones de logística y transporte (por ejemplo, para obtener dinero por seguros e indemnizaciones) u otras situaciones difíciles de prever, como en el reciente caso de competencia desleal en los ferrocarriles de Polonia.
  • Que aumente la probabilidad de que infecciones accidentales generen consecuencias físicas. Ya se conocen casos de vehículos que resultaron infectados por varios tipos de malware. En un futuro próximo, el número de casos de este tipo aumentará debido al creciente uso en el transporte de sistemas operativos “tradicionales” como Android y Linux, la amplia integración de componentes informáticos y protocolos de comunicación estándar, y el creciente número de escenarios que implican conexiones a servicios de nube. Es muy probable que algunos de ellos causen fallas en importantes sistemas de monitoreo y administración, con consecuencias difíciles de predecir. En primer lugar, el riesgo afecta al transporte por río, mar y los camiones y vehículos de emergencia, ya que el estado de su seguridad informática es a menudo más deplorable que el de los automóviles particulares.

Ciberamenazas para las industrias e infraestructuras de TO en 2024

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada