Boletín de seguridad de Kaspersky

Las amenazas que enfrentarán los ICS y empresas industriales en 2022

Tendencias que continúan

En los últimos años, observamos muchas tendencias en el versátil panorama de amenazas a la seguridad informática de empresas industriales, la mayoría de los cuales sigue evolucionando. Podemos afirmar con certeza que, el próximo año, muchas de estas tendencias no solo continuarán, sino que se potenciarán.

La creciente evolución de ciberamenazas como respuesta a las herramientas de seguridad de la información

Con los avances en la ciberseguridad corporativa y la implementación de una mayor cantidad de herramientas y medidas de protección, las ciberamenazas se vieron obligadas a evolucionar. Estos son algunos sectores en evolución en los que se debe prestar especial atención:

  • Menor cantidad de víctimas por ataque individual

    Últimamente, los ataques individuales incitados por campañas de ciberdelincuencia están dirigidos a una menor cantidad de víctimas. Por ejemplo, detectamos una nueva tendencia en el ecosistema criminal del robo de datos de autenticación basado en el spyware: cada ataque individual está dirigido a una cantidad muy reducida de víctimas (desde una hasta varias decenas). La tendencia crece tan rápido que, en algunas partes del mundo, hasta el 20 % de todas las computadoras con sistemas de control industrial (Industrial Control System, ICS) en las que bloqueamos el spyware reciben ataques mediante esta táctica. Es probable que dichos ataques conformen una porción aún mayor del panorama de amenazas para el año que viene. Y es posible que se aplique la misma táctica a otros tipos de amenazas.

  • Reducir el ciclo de vida del malware

    Para evitar que los detecten, cada vez más ciberdelincuentes adoptan la táctica de actualizar el malware con frecuencia en la familia elegida. Utilizan malware en su máxima eficacia para penetrar las defensas de las soluciones de seguridad y cambian a una compilación nueva tan pronto como la actual sea detectable. Para algunos tipos de amenazas (por ejemplo, el spyware) la vida útil de cada compilación es cada vez menor y, en muchos casos, no supera las tres o cuatro semanas (o incluso menos). La evolución de las plataformas MaaS modernas facilita que operadores de malware de todo el mundo adopten esta estrategia. Y, seguramente, el próximo año se aplicará en distintos casos de amenazas informáticas con más frecuencia. Combinado con la tendencia descendente en la cantidad de víctimas por ataque individual, el uso generalizado de esta estrategia aumentará la diversidad de malware vigente y generará un gran desafío para quienes desarrollen soluciones de seguridad.

  • Las APT modernas son más persistentes que avanzadas

    Hasta cierto punto, se puede rastrear una tendencia similar en las tácticas de muchas amenazas persistentes avanzadas (advanced persistent threats, APT). La P de “persistente” se volvió menos dependiente de la A de “avanzada”. Hace tiempo que notamos cómo una presencia persistente se mantiene en la infraestructura de la víctima mediante la tenacidad y diligencia de los operadores. También reparamos en que se utiliza la alternativa de ampliar y actualizar el conjunto de herramientas con regularidad para encontrar nuevas soluciones técnicas y desarrollar estructuras complejas y costosas que permanezcan sin detectarse durante la mayor cantidad de tiempo posible. Sin dudas esta es la estrategia que más se utilizará en las campañas de APT.

  • Reducir el uso de infraestructura maliciosa

    En su lucha contra las herramientas de seguridad, los atacantes buscan ocultar la huella detectable de sus actos maliciosos. Esto se refleja en su intención de reducir el uso de infraestructura maliciosa. Por ejemplo, advertimos que los servidores de comando y control (Command and Control, C&C) de algunas APT tenían una vida útil muy reducida, ya que solo operaban un par de horas durante la fase de ataque para la que se crearon.

    Además, en ocasiones, los atacantes logran prescindir no solo de infraestructura maliciosa, sino también de infraestructura sospechosa y no confiable. Por ejemplo, una táctica popular actual para ataques de spyware consiste en enviar a la potencial víctima correos electrónicos de phishing desde cuentas de correo corporativas ya comprometidas de alguna organización asociada. En este caso, si los mensajes están bien diseñados, son básicamente indistinguibles de los legítimos y no se pueden detectar con herramientas automatizadas.

    En nuestras investigaciones de incidentes relacionados con АPT en empresas industriales, descubrimos que los atacantes usan el punto cumbre del ataque como distracción para, en paralelo, intentar acceder de forma desapercibida desde la infraestructura de una empresa comprometida y a otras organizaciones o recursos de la empresa matriz, organismos gubernamentales o similares.

    No cabe duda que, el próximo año, los atacantes de distintas categorías utilizarán estas tácticas con más frecuencia.

Las acciones en las distintas categorías de atacantes

El debate sobre qué amenazas representan el mayor peligro para las empresas industriales suele centrarse en comparaciones entre APT y la ciberdelincuencia. Y los planes para mejorar la seguridad de la información e implementar nuevas herramientas y medidas de protección giran, de cierta forma, alrededor del modelo que elija el adversario. Al mismo tiempo, se debe considerar que las percepciones de los intereses, capacidades y modus operandi de algunas categorías de atacantes pueden perder vigencia y, por lo tanto, deben actualizarse de forma constante. Analicemos las tendencias pertinentes que seguramente continuarán o se intensificarán el próximo año.

  • Las APT y las técnicas, tácticas e incluso estrategias de ciberdelincuencia son cada vez más parecidas y posiblemente requieran medidas de seguridad similares.

    De hecho, muchas operaciones de APT y ciberdelincuencia son difíciles de distinguir, incluso para los expertos. Por ejemplo,

    • las APT técnicamente defectuosas y los ataques de ciberdelincuencia “sofisticados” ya no sorprenden a nadie. Observamos unos cuantos correos electrónicos de phishing mal elaborados y repletos de inconsistencias muy evidentes en campañas asociadas con APT conocidas. Pero, en muchas ocasiones, encontramos correos electrónicos casi perfectos utilizados en campañas de ciberdelincuencia dirigidas con un objetivo particular.
    • A su vez, las APT que se hacen pasar por delitos informáticos y los ataques de ciberdelincuentes que se disfrazan de APT perdieron su factor sorpresa.
    • Sin duda, el arsenal de APT incluirá sistemáticamente no solo herramientas comerciales, sino también infraestructura MaaS y vehículos de entrega como medios de penetración inicial.
  • Es posible que las listas de potenciales objetivos y víctimas de las APT y los ciberdelincuentes incluyan las mismas organizaciones

    De las gran cantidad de industrias existentes, es probable que las APT se centren en las siguientes:

    • El complejo industrial-militar y la industria aeroespacial, seguramente con fines de espionaje militar y tecnológico.
    • Las industrias de energía, transporte y servicios públicos, para adentrarse en la infraestructura crítica de un “posible adversario” y utilizarla para desarrollar otros ataques (ver los ejemplos mencionados).
    • Industrias basadas en el conocimiento, principalmente con fines de espionaje industrial.

    Los ciberdelincuentes seguirán perjudicando a cada individuo que puedan atacar; en la gran mayoría de los casos monetizarán sus ataques con métodos para los que ya probaron su efectividad:

    • El robo directo de fondos mediante la sustitución de datos bancarios, a través de estafas por correo electrónico (Business Email Compromise, BEC) o accediendo a los sistemas financieros de la organización.
    • El secuestro de datos y la extorsión a quienes puedan y estén dispuestos a pagar.
    • La reventa de información robada a otros ciberdelincuentes, rivales de la víctima y otras partes interesadas.
  • Si bien el daño financiero directo que provoca la ciberdelincuencia es superior, el que generan las APT es más difícil de predecir y puede ser más perjudicial a largo plazo.

  • Si se tiene en cuenta el daño financiero directo de los ataques del año pasado, los actos de los ciberdelincuentes parecen afectar a las organizaciones mucho más que las APT. Por ejemplo, en 2021, muchas industrias debieron detenerse y pagar decenas de millones de dólares a secuestradores de datos. Por el otro lado, este año hubo un solo caso relevante de una APT que generó daños económicos significativos, y sucedió porque los atacantes se hicieron pasar por extorsionadores.

    Sin embargo, el efecto negativo de los ataques de APT pueden tardar en verse reflejados, por lo cual es difícil de evaluar con anticipación (por ejemplo, una empresa rival puede utilizar datos robados para crear y lanzar un producto años después).

  • A no olvidarse de los ciberhooligans y hacktivistas

    En 2021, los ciberhooligans y hacktivistas protagonizaron los titulares mundiales en tres ocasiones como mínimo, lo que demuestra que la infraestructura industrial clave no suele estar bien protegida y queda expuesta a ataques. Dejamos a criterio de ustedes, los lectores, la cuestión de si se hizo todo lo posible evitar que esto vuelva a suceder el año que viene.

  • Extorsión

    Es posible que la extorsión sea el método más usado este año; a pesar de la retórica de los políticos y las acciones frenéticas de los gobiernos, es una tendencia que ya tomó impulso y es difícil de detener. Se prevé que los ataques continúen, incluso contra empresas industriales. Los ciberdelincuentes se protegerán mejor y cubrirán los riesgos. El costo de los gastos adicionales, por supuesto, lo cubrirán las víctimas con montos de rescates más elevados.

Vectores de ataque actuales

Es muy probable que los ciberdelincuentes utilicen las siguientes tácticas y técnicas activamente durante el próximo año.

  • El phishing es la principal herramienta de penetración inicial en ataques dirigidos (y no tan dirigidos). Tal como se demostró en el último año:
    • hasta un phishing deficiente cumple su función. Capacite a sus empleados para que lean sus correos entrantes con ojo crítico. Algunos signos de phishing deficiente son los errores de ortografía y gramática, mala redacción, uso de nombres inexactos de empresas y funcionarios, contenido extraño y solicitudes inusuales. Cualquier empleado puede reconocerlos, incluso sin una experiencia en seguridad.
    • Lamentablemente, está casi garantizado que el spear phishing de alta calidad logra su cometido. En todas las empresas, es probable que alguien abra ciegamente un archivo adjunto, siga un vínculo, haga clic en un botón o incluso contacte a los atacantes y, sin saberlo, los ayude a meter una carga maliciosa en el sistema.
    • Los ciberdelincuentes con amplio prontuario dominan el arte del spear phishing sin utilizar infraestructura maliciosa y de phishing empleando solo infraestructura de confianza (tal como se mencionó anteriormente).

      Es más: este último es el método más peligroso y difícil de detectar. Desafortunadamente, no quedan dudas de que habrá muchas víctimas el año que viene.

  • Las vulnerabilidades conocidas del hardware de Internet continuarán siendo un vector de penetración muy usado. Los firewalls y las puertas de enlace VPN SSL se deben actualizar a su debido tiempo.
  • Las vulnerabilidades de día cero en los componentes del sistema operativo y productos de TI populares continuarán siendo poco comunes en las APT avanzadas, mientras que los ciberdelincuentes se centraran en explotar las brechas de seguridad desconocidas en productos menos comunes (y, por ende, menos probados).
  • Ataques a registradores de nombres de dominio, autoridades de certificación y proveedores

    Con respecto a estas tácticas “avanzadas”, el año pasado volvimos a detectar ataques contra registradores de nombres de dominio (con acceso al panel de control web de la víctima, como mínimo) y autoridades de certificación, así como nuevas situaciones de ataque dirigidos a proveedores. Estas amenazas tienen la capacidad de pasar desapercibidas durante mucho tiempo, lo que permite que los atacantes operen por un plazo extendido. Por supuesto, aquellos que pueden emplear estos vectores no los abandonarán.

    Por lo tanto, al planificar los medios las y medidas de protección para el próximo año, se debe estar pendiente no solo de la seguridad de la infraestructura propia, sino también de la de los servicios de terceros. Al elegir proveedores para sus sistemas de TI y TO, asegúrese de poder implementar sus propios estándares de ciberseguridad en el proveedor y sus productos. Cuando adquiera socios comerciales, considere el impacto que las debilidades de sus sistemas de seguridad implicarían para usted.

Aprovechar el éxito del 2021

Los ciberdelincuentes se perfeccionaron bastante en el 2021: la lista de ataques de ransomware de alto perfil a empresas industriales de este año posiblemente sea más extensa que la de todos los años anteriores combinados. Además, las campañas de APT dirigidas a organizaciones industriales mantuvieron a los investigadores muy ocupados.
Muchos de los logros que obtuvo la ciberdelincuencia este año afianzan su rumbo para el año que viene.

  • El robo de datos y sistemas de TI comprometidos

    Según nuestra telemetría y análisis de la información en la dark web, en 2021 los ciberdelincuentes perjudicaron, como mínimo, a miles de organizaciones industriales en todo el mundo. Creemos que el total supera con creces a la cantidad de organizaciones afectadas por ransomware o víctimas de APT. Es posible que algunas tengan la suerte de salir del radar de los ciberdelincuentes. Pero no todas. Alguna empresas sufrirán el impacto de las brecha de seguridad de 2021 recién en 2022.

  • Amenazas para TO

    Nos resulta preocupante que, en muchas organizaciones, encontramos rastros de brechas de seguridad en computadoras directamente relacionadas con ICS. Por lo tanto, en algunos casos, el daño no se limita al cifrado de los sistemas de TI y el robo de datos en la red laboral.

  • La P significa “perseverancia”

    Como se señaló anteriormente, la P en APT debe entenderse no solo como “persistente”, sino también como “perseverante”. Por lo tanto, las organizaciones que sufrieron ataques deben estar en guardia: es muy probable (y con algunas APT es un hecho) que las ataquen otra vez y, posiblemente, más de una vez.

Las amenazas que enfrentarán los ICS y empresas industriales en 2022

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada