Nozomi Networks - Ciberamenazas en el primer semestre de 2020
El panorama de las amenazas OT/IoT para el primer semestre de 2020 registró un aumento de las amenazas a las redes OT e IoT, en particular los ataques IoT botnet, ransomware y COVID-19. Estos tipos de ataques están en consonancia con las tendencias informáticas y socioeconómicas mundiales. El rápido aumento de los dispositivos IoT, la pandemia mundial de COVID-19 y el creciente crecimiento y sofisticación de los ciberdelincuentes son los principales impulsores. Esta entrada de blog ofrece una visión general de las amenazas más activas observadas en los últimos meses por los expertos de Nozomi Networks, así como una perspectiva de las tácticas y técnicas y recomendaciones para proteger las redes críticas.
¿Qué amenazas aumentaron masivamente en la primera mitad del año?
Las amenazas de malware IoT van en aumento y serán una parte importante del panorama de amenazas en un futuro previsible. Varios factores contribuyen a este crecimiento sin precedentes:
- El crecimiento exponencial del número de dispositivos IoT.
- El uso inseguro de dispositivos IoT directamente accesibles a través de Internet.
- La falta de actualizaciones de seguridad para los dispositivos IoT, lo que los hace vulnerables a ataques frecuentes de muchos actores de amenazas.
- La falta de conocimiento de la postura de seguridad de los dispositivos IoT.
Una de las redes de bots más interesantes es Dark Nexus, descubierta en abril de 2020. Los operadores de Dark Nexus lanzan con frecuencia nuevas actualizaciones, similares a las del software comercial. Además, los operadores de Dark Nexus venden sus servicios de mitigación DDoS abiertamente en Internet. Desde un punto de vista técnico, Dark Nexus se distingue de las redes de bots competidoras por un sofisticado mecanismo que perfila los procesos que se ejecutan en el dispositivo infectado. El objetivo de este mecanismo es identificar los procesos que podrían obstaculizar la ejecución sin problemas del malware. Aunque Dark Nexus infectó inicialmente sólo unos pocos miles de dispositivos, este número puede aumentar rápidamente. Por lo tanto, Dark Nexus debe tenerse en cuenta urgentemente.
¿Sigue siendo importante el ransomware?
Los ataques de ransomware dirigidos a diversos sectores verticales siguen siendo habituales. Lo que ha cambiado son los objetivos. Las bandas de ransomware se han centrado en objetivos más grandes, más críticos y con bolsillos más llenos, como fabricantes, empresas energéticas y ayuntamientos, entre otros. Los operadores de ransomware suelen cifrar los archivos y exigir el pago de rescates a las víctimas. Ahora también filtran datos corporativos y amenazan con publicarlos en Internet para ejercer aún más presión.
¿Cómo se está aprovechando la pandemia COVID-19 para la ciberdelincuencia?
La pandemia mundial de COVID-19 proporciona a los ciberdelincuentes aún más vectores y oportunidades de explotación. La superficie de ataque para la mayoría de las empresas ha aumentado enormemente con el rápido cambio a una política de "oficina en casa". Algunas empresas disponen de infraestructura para permitir el trabajo a distancia, como VPN y ordenadores portátiles de trabajo. Sin embargo, muchas otras empresas no están preparadas para ello y tienen que encontrar soluciones rápidamente, lo que ha abierto la puerta a riesgos de seguridad. Además, el clima de miedo e incertidumbre provocado por la COVID-19 hace que los empleados sean más vulnerables a los ataques de ingeniería social. Los ciberdelincuentes utilizaron principalmente correos electrónicos de phishing en la primera fase del ataque para engañar a los usuarios y hacerles revelar información personal o ejecutar software malicioso.
Un ejemplo es la familia de malware Chinoxy Backdoor. Incrusta un documento con información de apoyo a COVID-19 en un archivo .rtf que explota CVE-2017-11882. El exploit se utiliza para soltar binarios maliciosos en la máquina que utilizan HTTP a través del puerto 443 para la comunicación C&C. Cuando los ciberdelincuentes acceden a los sistemas y roban datos de la red, siempre dejan un rastro. Esto es una buena noticia, porque este rastro puede ser identificado, siempre que las empresas tengan una visión clara de lo que está sucediendo en sus redes OT/IoT.
¿Qué otros retos plantea la seguridad informática?
Las vulnerabilidades descubiertas en los sistemas ICS proporcionan a los atacantes la capacidad de manipular datos, lo que puede afectar a los procesos físicos y ser extremadamente peligroso para la producción industrial. Por lo tanto, es importante tener en cuenta las tendencias de las amenazas de vulnerabilidad a la hora de evaluar los riesgos de seguridad. El número de vulnerabilidades encontradas por ICS-CERT en la primera mitad de 2020 ha aumentado significativamente en comparación con 2019. Un enfoque sensato para la industria es reducir la exposición abordando primero las vulnerabilidades que son fáciles de mitigar. Con el tiempo, se pueden mitigar más y más vulnerabilidades. La validación de entrada inadecuada y las vulnerabilidades de desbordamiento de búfer encabezan la lista de vulnerabilidades de 2020 en términos de números. Mientras que la primera entra en la categoría de vulnerabilidades fáciles de mitigar, la segunda es más difícil de solucionar. Los desbordamientos de búfer requieren actualizaciones de firmware por parte de los fabricantes, la sustitución de dispositivos antiguos y otras medidas correctoras. Por desgracia, es probable que este grupo siga representando un porcentaje significativo de las vulnerabilidades descubiertas en los próximos años.
¿Qué ciberamenazas se esperan para el segundo semestre del año?
Esperamos que los ataques de botnets IoT, ransomware y malware COVID-19 sigan aumentando, aunque se ajustarán en la segunda mitad del año. Frente a las amenazas crecientes y en constante cambio, es importante garantizar una alta resiliencia cibernética y capacidades de respuesta rápida. Las brechas de seguridad relacionadas con las personas, los procesos y la tecnología pueden tener un gran impacto, especialmente en TI y OT en organizaciones con sistemas de TI, OT e IoT cada vez más interconectados. Sin embargo, con la tecnología adecuada y un enfoque en las mejores prácticas, se puede aumentar la visibilidad y la resiliencia operativa.
Traducido del inglés con DeepL
Original de Alessandro Di Pinto, Jefe de Investigación de Seguridad de Nozomi Networks.
Corrección y edición por Victor Rossner