La velocidad a la que evolucionan el malware y las técnicas de ataque, junto con el aumento de las tensiones geopolíticas globales, ha cambiado el panorama del sector público y privado en la protección de la infraestructura crítica.
Históricamente, los sistemas de TI y OT/ICS han estado completamente aislados entre sí, pero a medida que continúa la transformación digital, estos dos mundos se unen rápidamente.
Como resultado, los ciberdelincuentes están utilizando malware para infiltrarse específicamente en las redes OT para atacar objetivos que no pueden permitirse el tiempo de inactividad que vemos tan a menudo cuando el ransomware ataca los sistemas de TI de las empresas.
Los crecientes ataques a los entornos ICS ponen en peligro la seguridad de la población que depende de infraestructuras críticas para cubrir sus necesidades básicas. Hemos visto que esto sucede con los ataques iraníes a la infraestructura petrolera saudí y con los ataques rusos contra las empresas eléctricas ucranianas utilizando malware como Triton , SandWorm , BlackEnergy e Industroyer .
Entendiendo las vulnerabilidades
Para comprender mejor cómo funciona el malware centrado en entornos OT, es importante comprender dónde residen las vulnerabilidades y cómo se explotan. En la mayoría de los casos, se encuentran dentro de los controladores de Windows que interactúan con estos sistemas y las instrucciones se dirigen a los sistemas operativos que incluyen:
Dispositivos : clientes de interfaz hombre-máquina (HMI), historiadores de datos, servidores SCADA y estaciones de trabajo de ingeniería (EWS).
Plataformas (software ICS) : GE Proficy, Honeywell HMIWeb, etc.
Redes : acceso directo a Internet a un entorno ICS a través de la exposición de protocolos operativos como Siemens S7, Omron FINS y EtherNet/IP, además de acceso VNC mal configurado. Esto puede conducir a un movimiento lateral a través de SMB.
¿Por qué no basta con proteger la infraestructura de TI?
A los ciberdelincuentes patrocinados por estados y países les encanta el malware ICS, ya que se alinea con sus objetivos políticos de socavar la infraestructura crítica a través de ataques amplios y profundos en entornos industriales. Estos actores también son los que tienen los recursos para ejecutar con éxito ataques en entornos ICS, ya que a menudo necesitan más sofisticación y planificación que un ataque de ransomware que se puede ejecutar utilizando componentes y servicios "listos para usar".
Comprender las metodologías de ataque
La mejor manera de comprender el malware detrás de estos ataques y ayudar a las organizaciones de infraestructura crítica a prevenirlos es mapeando todos los comportamientos utilizando MITRE ATT&CK y YARA Framework:
MITRE ATT&CK para ICS :similar al marco ampliamente adoptado MITRE ATT&CK para TI, este marco modela el comportamiento de los ataques que utilizan malware dirigido a los sistemas de control industrial. Al incorporar el mapeo de comportamiento en el marco MITRE ATT&CK ICS, herramientas como OPSWAT Sandbox pueden ayudar a los defensores a identificar rápidamente cómo el malware está tratando de atacar sus sistemas y responder de manera más efectiva.
Como ejemplo de esto, observamos BlackEnergy en la zona de pruebas y vimos el mapeo de comportamientos específicos de ICS en el marco:
YARA para detección y protección contra amenazas : al incorporar conjuntos de reglas y herramientas de análisis de Yara ICS, como OPSWAT Sandbox, puede identificar de manera más eficiente el malware (estático y dinámico) que coincide con los atributos maliciosos conocidos para ICS. Si bien los piratas informáticos a menudo modifican los archivos de malware para evitar la detección, los atacantes deben aprovechar las herramientas, tácticas y procedimientos (TTP) existentes para ser efectivos. La infraestructura del atacante es costosa y tiene que reutilizarla, por lo que las herramientas, tácticas y procedimientos (TTP) se repiten en diferentes variantes de malware, lo que permite la identificación de familias de malware y ayuda con la atribución.
El último MITRE ATT&CK para ICS ofrece el marco TTP específico para ataques dirigidos a tecnologías operativas (OT), como funciones de inhibición de respuesta.
La detección de malware particularmente evasivo en infraestructuras críticas requiere capacidades de análisis que deben incluir un análisis estático y dinámico integral, con la capacidad de marcar TTP específicos para ataques de ICS, como se muestra en el análisis de malware de BlackEnergy a continuación:
El lanzamiento reciente de OPSWAT Sandbox v1.1.7 incluye IOC Mapping to ICS TTPs, y con las reglas YARA disponibles y un repositorio MISP nativo de OPSWAT MetaDefender Core, las organizaciones pueden protegerse mejor contra amenazas de malware a través de una solución integral de inteligencia de amenazas.
Fuente: OPSWAT
Cuente con internacional IT y OPSWAT para ayudarlo a proteger sus entornos complejos. ¡Solicite una demostración!
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoreo de Red, Transferencia de Archivos Gerenciados, Consultoria de TIC, Entrenamentos, Soporte de Aplicaciones, Outsourcing, Licencias Generales e Help Desk.
