Ransowmare Endpoint ICS Sistemas de Control Industrial

Trend Micro ha publicado un nuevo informe en el que destaca el riesgo creciente de tiempo de inactividad y de robo de datos confidenciales que suponen los ataques de ransomware dirigidos a los Sistemas de Control Industrial.

“Los sistemas de control industrial son increíblemente difíciles de proteger, ya que dejan muchas brechas de seguridad que los actores de amenazas están explotando claramente con creciente determinación”, comenta Ryan Flores, director senior del equipo forward-looking threat research de Trend Micro. “Teniendo en cuenta que el gobierno estadounidense ahora está tratando los ataques de ransomware con la misma gravedad que el terrorismo, esperamos que nuestra última investigación ayude a los propietarios de plantas industriales a priorizar y reenfocar sus esfuerzos de seguridad.”

Los sistemas de control industrial (ICS) son un elemento crucial de las plantas de servicios públicos, fábricas y otras instalaciones, donde se utilizan para supervisar y controlar los procesos industriales a través de las redes de TI-OT.

Los sistemas de control industrial son increíblemente difíciles de proteger

Si el ransomware llega a estos sistemas, podría interrumpir las operaciones durante días y aumentar el riesgo de que los diseños, programas y otros documentos sensibles lleguen a la dark web.

El informe de Trend Micro encontró que las variantes Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) y LockBit (10,4%) representaron más de la mitad de las infecciones de ransomware ICS en 2020.

El informe también pone de manifiesto:

  • Los actores de amenazas están infectando endpoints de ICS para minar criptomonedas utilizando sistemas operativos no parcheados que aún son vulnerables a EternalBlue.
  • Las variantes de Conficker se están propagando en endpoints de ICS que ejecutan sistemas operativos más nuevos mediante fuerza bruta a los recursos compartidos del administrador.
  • El malware tradicional, como Autorun, Gamarue y Palevo, sigue estando muy extendido en las redes de TI/OT, propagándose a través de unidades extraíbles.

El informe insta a una cooperación más estrecha entre los equipos de seguridad de TI y OT para identificar los sistemas clave y las dependencias, como la compatibilidad del OS y los requisitos de tiempo de actividad, con el fin de desarrollar estrategias de seguridad más eficaces.

Trend Micro hace las siguientes recomendaciones:

La aplicación de parches con prontitud es vital. Si esto no es posible, considere la posibilidad de segmentar la red o la aplicación de parches virtuales de proveedores como Trend Micro.

  • Haga frente al ransomware posterior a la intrusión mitigando las causas raíz de la infección mediante software de control de aplicaciones y herramientas de detección y respuesta a amenazas para barrer las redes en busca de IoC.
  • Restrinja los recursos compartidos de la red y aplique combinaciones sólidas de nombre de usuario y contraseña para evitar el acceso no autorizado a través de la fuerza bruta de credenciales.
  • Utilice un IDS o IPS para establecer una línea de base del comportamiento normal de la red y así detectar mejor la actividad sospechosa.
  • Escanee los endpoints de ICS en entornos cerrados con herramientas independientes.
  • Instale quioscos de escaneo de malware USB para verificar las unidades extraíbles utilizadas para transferir datos entre los endpoints conectados en entornos aislados.
  • Aplicar el principio del mínimo privilegio a los administradores y operadores de redes OT.