CIBERSEGURIDAD

Ataque de ransomware golpea planta energética estadounidense

La Agencia Estadounidense de Seguridad de Infraestructura y Ciberseguridad (CISA) ha anunciado que una operación de infraestructura crítica estadounidense se ha visto afectada por ataques de ransomware. El ataque fue causado por una técnica de spearphishing dirigida a los trabajadores de una instalación de compresión de gas natural. El ransomware cifró las redes de TI y OT de la planta, lo que provocó una pérdida parcial de visión para los operadores humanos. Si bien el ataque solo infectó dispositivos Windows, el impacto de las interfaces hombre-máquina tuvo un impacto significativo.

A la luz de esto, varios profesionales de la ciberseguridad han dado una idea del caso, destacando las lecciones que las empresas deben aprender de este evento:

Richard Bejtlich, estratega principal de seguridad en Corelight:

“Este incidente resalta la necesidad de que los operadores de infraestructura crítica instrumenten sus redes en al menos tres ubicaciones importantes:

1) en la puerta de enlace que conecta Internet y su tecnología de la información (TI);

2) en la puerta de enlace que conecta Internet y su tecnología operativa (OT); y

3) en la puerta de enlace que conecta las redes de TI y OT «.

Nigel Stanley, director de tecnología de TUV Rheinland:

“Las redes de TI y OT suelen estar interconectadas, ya que los sistemas empresariales necesitan tener una visión de los sistemas de control. Desafortunadamente, con una mala segmentación de la red, cortafuegos y protección de los conductos de trabajo de Internet, la pivotación de malware como este se verá cada vez con más frecuencia. Es de destacar la necesidad de garantizar que los ciberataques en los sistemas OT tengan un plan de respuesta a incidentes decente y bien ensayado, junto con un plan de recuperación empresarial implementado de manera similar. El CISA ha sido útil para resaltar este incidente «.

Stuart Sharp, Vicepresidente de Ingeniería de Soluciones, OneLogin:

“A medida que los ataques de phishing se vuelven cada vez más comunes y cada vez más sofisticados, a menudo adaptados a un equipo específico con una organización, las empresas no pueden confiar en la defensa contra el 100% de los ataques. La mejor defensa contra el ransomware es un plan de continuidad empresarial sólido que incluye copias de seguridad periódicas, control de versiones y pruebas exhaustivas de los procedimientos de recuperación ante desastres. Para las empresas que dependen de los sistemas de control industrial, no hay sustituto para las pruebas del mundo real: el personal no solo necesita conocer los procedimientos de recuperación, sino que también debe practicarlos con regularidad para minimizar el tiempo de inactividad si ocurre un ataque ”.

Tim Erlin VP en Tripwire:

“Si bien nos gusta pensar que las redes OT están pobladas de dispositivos exclusivos y exclusivos, la realidad es que también hay una gran cantidad de sistemas Windows en estos entornos, y son vulnerables a las amenazas tradicionales de TI, como el ransomware.

Este ataque es un buen ejemplo de cómo una sólida segmentación de la red puede tener un beneficio directo para evitar que un atacante se mueva con éxito a través de la red. Es posible que la segmentación de la red no sea una tecnología de vanguardia, pero eso no significa que no sea eficaz.

Recuerde, el ransomware se anuncia a sí mismo de forma predeterminada. Tiene que hacerlo para que la víctima pague el rescate. Pero los atacantes que prefieren permanecer ocultos también podrían utilizar los mismos vectores de ataque y tácticas que los exploits de ransomware. Si le preocupa el ransomware, también debería preocuparse por otros ataques «.

Martín Jartelius, CSO en Puesto 24:

“Esto muestra con bastante claridad que la seguridad debe tener capas. No podemos seguir percibiendo la seguridad como una fortaleza donde los actores de amenazas están afuera y, adentro, todos son buenas personas. Si un correo electrónico a un empleado puede llevar a que se cambie a la red OT, falta una seguridad muy básica en la configuración.

Para las organizaciones que piensan que la segmentación realmente existe, donde se implementan la detección y otros controles, logrando que los analistas garanticen una segmentación adecuada, por ejemplo, mediante el uso de ataques simulados. Pero para ahorrar dinero Comience preguntando a su equipo de TI si las redes OT están debidamente aisladas. Es gratis verificar de esa manera, y probablemente obtendrá resultados reveladores «.

Oliver Pinson-Roxburgh, cofundador de A prueba de balas:

“Este tipo de ataque generalmente requiere un conjunto de habilidades muy específicas. La última vez que escuché sobre malware como este fue el malware Triton (llamado “El malware más asesino del mundo”) que podría afectar los controles de seguridad dentro de una planta petroquímica. Los atacantes utilizaron un enfoque similar al obtener acceso inicial y avanzaron más en la red, eventualmente apuntando a los controles de seguridad en la planta. La diferencia es que los atacantes de Triton se enfocaron en los sistemas de seguridad, y estos atacantes parecían enfocarse en la interrupción del funcionamiento de la planta. Se creía que Triton era un ataque de un estado nacional.

Los ingenieros industriales allá por los años 80, cuando se construyeron los primeros sistemas de control industrial, no tenían que considerar que algún día estarían conectados a internet. Además, la segregación en este tipo de redes tampoco fue una consideración. Como podemos ver en ambos ejemplos, la red inicial no era el objetivo, sino el primer punto de entrada aprovechado por el actor de amenazas. En este ejemplo, se trasladaron al OT demostrando que la segregación no era efectiva o no existía, similar al ataque de Triton.

Descubrimos que durante las pruebas a nuestros clientes, los empleados son el eslabón más débil. Durante nuestras campañas de phishing siempre tendremos cierto éxito. El punto importante a considerar es que un atacante solo necesita una persona para fallar; todo lo que necesitan es ese equipo o personas para apalancar.

La seguridad de los sistemas de control industrial requiere un conjunto muy diferente de conocimientos y habilidades para proteger el sitio, que es muy diferente a una red de TI típica. El enfoque no es proteger la información, su operación física SEGURA, correcta, eficiente y continua de la planta. Los controles de TI deben considerarse más cuando se trata de sistemas de control industrial, ya que a menudo no están dentro del alcance de las operaciones de seguridad típicas dentro de los ICS, ya que el enfoque siempre ha estado en garantizar el funcionamiento seguro del hardware físico que podría afectar la seguridad de los humanos.

En esta época, la seguridad de TI se está volviendo fundamental para proteger el mundo físico, ya que todo se interconecta ”.

Con este ataque en mente, y la prevalencia continua de ataques de phishing en la infraestructura crítica, es esencial trabajar juntos como industria para garantizar que los ciberdelincuentes no dominen. Si bien esto puede parecer una batalla cuesta arriba, uno debe tomar nota de las recomendaciones de los expertos en el futuro para asegurarse de que ningún sistema quede desprotegido.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar