Kaspersky ha analizado los ciberataques dirigidos al sector industrial en Europa del Este. La principal conclusión es que los ciberdelincuentes emplean Tácticas, Técnicas y Procedimientos (TTP) avanzados para comprometer a organizaciones industriales en la región. Las áreas más afectadas han sido fabricación, ingeniería y Sistemas de Control Industrial (ICS), lo que pone de manifiesto la necesidad de una mayor preparación en ciberseguridad.
Durante el análisis, Kaspersky descubrió una serie de ataques dirigidos que pretendían establecer un canal permanente para la filtración de datos de las organizaciones. Una técnica que guarda similitudes con otros ataques anteriores, como ExCone y DexCone, de lo cual se deduce la participación de APT31, también conocido como Judgment Panda y Zirconium.
Los expertos de Kaspersky descubrieron sistemas diseñados para el acceso remoto, capaces de sortear la seguridad de las empresas, lo que revela la profesionalización de los ciberdelincuentes. Estos sistemas permitieron establecer canales seguros que filtraron datos incluso de infraestructuras con altos niveles de seguridad.
En concreto, los ciberdelincuentes utilizaron técnicas de secuestro de DLL (mediante archivos ejecutables legítimos de terceros) para evitar que la seguridad de los sistemas detectara los ataques. Se sirvieron de servicios de datos en la nube, como Dropbox o Yandex Disk, además de plataformas de intercambio de archivos para ejecutar los ataques, que acabaron con la citada filtración de datos y la posterior distribución de malware. También fueron capaces de implementar una infraestructura de comando y control (C2) en Yandex Cloud, así como en Servidores Privados Virtuales (VPS), para mantener el control sobre las redes comprometidas. Hay que subrayar que las infraestructuras de comando y control permiten gestionar un cliente o sistema desde un servidor central.
En el marco de estos ataques también se implementaron nuevas variantes del malware FourteenHi, descubierto en 2021 durante la campaña ExCone, dirigida contra entidades gubernamentales. FourteenHi ha evolucionado en 2022 y ahora puede vulnerar infraestructuras industriales. Además, los expertos de Kaspersky descubrieron un nuevo malware de tipo backdoor denominado MeatBall con amplias capacidades de acceso remoto.
"No se pueden subestimar los grandes riesgos que representan para los sectores industriales los ataques dirigidos. A medida que las organizaciones digitalizan su operativa mediante sistemas interconectados, el riesgo de sufrir ciberataques se hace más patente. El análisis de Kaspersky pone el acento sobre la importancia de establecer medidas de seguridad resilientes para proteger las infraestructuras industriales contra las amenazas actuales y futuras", manifiesta Kirill Kruglov, analista senior de seguridad de Kaspersky ICS CERT.
Para mantener los sistemas OT (Tecnología Operacional) protegidos, los expertos de Kaspersky recomiendan:
Realizar análisis periódicos de los sistemas OT para detectar, identificar y eliminar posibles problemas de seguridad.
Utilizar soluciones de seguridad específicas como Kaspersky Industrial CyberSecurity. Son una fuente de información procesable y no disponible para todo el público.
Mantener actualizada la red OT de la empresa, instalar los pertinentes parches de seguridad e implementar las medidas necesarias cuando sea oportuno son medidas cruciales para prevenir incidentes que pueden ralentizar o detener los procesos de producción, con un coste que en ocasiones puede ser millonario.
Usar una solución EDR de confianza como Kaspersky Endpoint Detection and Response para la detección temprana de amenazas avanzadas, así como para investigar y resolver incidentes.
Capacitar al personal de la empresa con el fin de mejorar la prevención, detección y respuesta a las nuevas amenazas. La formación específica en seguridad OT tanto para los equipos de seguridad TI como para el personal de OT es clave en este sentido.