Los ataques de ransomware a infraestructuras industriales casi se duplicarán en 2022

Los ataques de ransomware a infraestructuras industriales casi se duplicaron en 2022, lo que se tradujo en más riesgos para las redes basadas en tecnología operativa (OT), especialmente aquellas con una segmentación débil. El año pasado también se produjo una escalada en la sofisticación de este tipo de amenazas debido a un nuevo kit de malware modular llamado Pipedream, desarrollado por el grupo Chernovite. El kit utiliza capacidades para afectar a dispositivos que controlan infraestructuras, como redes eléctricas, oleoductos y gasoductos, sistemas de abastecimiento de agua y fábricas, y amenaza cadenas de suministro enteras.

Los ataques de ransomware a empresas del segmento industrial rastreados por Dragos  en 2022 mostraron un aumento del 87 % con respecto al año anterior. Desde 2020, los investigadores han rastreado grupos que intentan irrumpir en redes OT/ICS ((Industrial Control System). El año pasado se identificaron un 35 % más de grupos de ransomware dirigidos a entornos OT/ICS.

Hay varias razones que explican el aumento de las actividades de ransomware contra organizaciones industriales, como las tensiones geopolíticas, la introducción de Lockbit Builder y el continuo crecimiento del ransomware como servicio (RaaS).

Además, las vulnerabilidades han experimentado un aumento del 27% en 2022, aunque con una tasa de crecimiento menor y mejoras en las tasas de error y las calificaciones de riesgo. Mientras que el enfoque de TI para la mitigación de vulnerabilidades se basa en la instalación de parches, el mundo OT a menudo requiere paradas del sistema y de la planta y se basa en soluciones alternativas para mitigar el riesgo y mantener la producción, lo que hace que el proceso sea muy difícil.

Durante 2022, Dragos rastreó 20 grupos de amenazas y descubrió dos nuevos: Chernovite y Bentonite. Chernovite desarrolló el malware Pipedream, el séptimo y último dirigido a ICS. Pipedream es la primera amenaza multisectorial reutilizable que afecta a la funcionalidad nativa de los protocolos industriales y a una amplia variedad de dispositivos. Según las investigaciones, el malware se mueve aprovechando técnicas conocidas y exitosas utilizadas en ciberataques contra ICS.

Los investigadores de Dragos afirman que otras amenazas rastreadas pueden evolucionar con capacidades más innovadoras y destructivas en el futuro. Se espera que los ataques de ransomware sigan afectando a las operaciones industriales en 2023, ya sea mediante la integración de contra procesos OT en cepas de ransomware, a través de redes que facilitan la propagación de ransomware a través de entornos OT, o por operadores temerosos que terminan desactivando preventivamente entornos OT para evitar la propagación de ransomware a través de sistemas OT. Además, los ciberdelincuentes mostrarán más interés en los proveedores debido a la interconectividad con los clientes.

Para protegerse contra los ataques, la recomendación es que los operadores industriales apliquen los cinco controles críticos destacados en el libro blanco del SANS Institute, “The  Five Critical Controls for ICS/OT”.

1. Plan de respuesta a incidentes de ICS – Los planes de respuesta a incidentes de OT deben ser distintos de los de IT porque implican diferentes tipos de dispositivos, protocolos de comunicaciones y tipos de tácticas, técnicas y procedimientos (TTP) específicos de los grupos de amenazas del entorno industrial. Requieren un conjunto diferente de herramientas, lenguajes y puntos de contacto.

2. Arquitectura defendible – Las estrategias de seguridad OT suelen empezar por cerrar el entorno, eliminar los puntos de acceso innecesarios a las redes OT, mantener un estricto control de las políticas en los puntos de interfaz IT/OT y mitigar las vulnerabilidades de alto riesgo. Sin embargo, una arquitectura defendible es más que eso. También debe apoyar a las personas y los procesos implicados y mejorar la visibilidad y la supervisión del entorno OT.

3. Visibilidad y supervisión – Sólo se protege lo que se puede ver, por lo que una postura de seguridad OT exitosa debe mantener un inventario de activos, mapear vulnerabilidades, desarrollar los respectivos planes de mitigación y supervisar activamente el tráfico de red en busca de amenazas potenciales. La detección de amenazas resultante de la supervisión permite ampliar y automatizar redes complejas. Los sistemas de defensa deben centrarse en los comportamientos identificados en el plan de respuesta para evitar el ruido excesivo y centrarse en los riesgos más preocupantes. Además, la supervisión también puede ayudar a identificar vulnerabilidades.

4. Acceso remoto seguro – El acceso remoto seguro es fundamental en los entornos de OT. La autenticación multifactor (MFA) es un tipo clásico de control de TI que puede aplicarse adecuadamente en entornos de OT. Cuando no sea posible aplicarla, una alternativa son los jumphosts con supervisión focalizada, que deben colocarse en las conexiones dentro y fuera de las redes OT y no en las conexiones en las redes.

5. Gestión de vulnerabilidades basada en riesgos – Conocer las vulnerabilidades y tener un plan para gestionarlas es esencial en una arquitectura defendible. Una herramienta eficaz de gestión de vulnerabilidades en OT requiere conocer los puntos débiles clave, información correcta y clasificaciones de riesgo, así como estrategias de mitigación para minimizar la exposición y mantener las operaciones en funcionamiento.

Además, Dragos destacó el papel clave de los proveedores de ICS a la hora de garantizar la protección de las redes OT frente a Pipedream u otros tipos de malware. Pueden ayudar de dos formas importantes: en primer lugar, haciendo que los programas de gestión de vulnerabilidades y riesgos sean más transparentes en cuanto a la pila de software de sus productos. Además, deberían incluir una lista de materiales de software (Software Bill of Materials, SBOM) como parte del ciclo de desarrollo.

Conviene recordar que ningún actor del sector, proveedor de soluciones de seguridad o vendedor de ICS podrá mitigar los ataques de ransomware por sí solo. Deben cooperar para enfrentarse juntos a este enemigo común.