La serie de ciberataques a infraestructuras críticas -KRITIS- no parece detenerse. A principios de febrero, un ataque de piratería atrapó a la empresa suiza Swissport e interrumpió las operaciones de vuelo en Suiza, seguido del ataque de ransomware en el parque de tanques de Oiltanking en Alemania, ataques a SEA-Invest en Bélgica y Evos en los Países Bajos. Algunos comentarios de expertos.
“Los atacantes cibernéticos a menudo dirigen sus ataques donde pueden causar la mayor interrupción del negocio. De esta manera, la víctima podría estar más dispuesta a pagar un rescate para que sus sistemas vuelvan a estar en línea. Por esta razón, la infraestructura crítica, los hospitales, los centros de transporte y las redes eléctricas de las ciudades a menudo aparecen en las noticias sobre los ataques de ransomware. Los atacantes siempre encontrarán formas de crear situaciones de presión que los beneficien.
Los atacantes siempre están encontrando nuevas formas
El ransomware no es una amenaza nueva, pero las tácticas que utilizan los atacantes para penetrar en la infraestructura corporativa y congelar o robar recursos están evolucionando rápidamente. Hace años, los atacantes usaban tácticas de fuerza bruta para encontrar una pequeña vulnerabilidad en una empresa y luego la explotaban para apoderarse de la infraestructura. Hoy en día, existen formas mucho más sigilosas para que los ciberdelincuentes ingresen a la infraestructura. La mayoría de las veces, descubren cómo comprometer la cuenta de un empleado para iniciar sesión con credenciales legítimas que no levantan sospechas.
Las credenciales a menudo se roban mediante ataques de phishing en dispositivos móviles. En los teléfonos inteligentes y las tabletas, los atacantes tienen innumerables oportunidades para participar en la ingeniería social a través de SMS, plataformas de chat de terceros y aplicaciones de redes sociales. Además de proteger el punto final, las organizaciones también deben poder asegurar de forma dinámica el acceso y las acciones dentro de la nube y las aplicaciones privadas. Aquí es donde entran en juego las soluciones Zero Trust Network Access (ZTNA) y Cloud Access Security Broker (CASB). Al comprender las interacciones entre usuarios, dispositivos, redes y datos, las organizaciones pueden detectar indicadores clave de compromiso que apuntan a ransomware o exfiltración masiva de datos. La protección conjunta de los dispositivos móviles de los empleados, así como de las aplicaciones personales y en la nube, ayuda a las empresas a crear una postura de seguridad sólida basada en la filosofía Zero Trust”.
Hendrik Schless, Gerente Senior de Soluciones de Seguridad en el proveedor de seguridad Lookout
El ransomware de modelo de negocio sigue siendo rentable
“El ransomware es el modelo comercial dominante entre los grupos que realizan ataques cibernéticos con fines de lucro. Lo que estamos viendo con la reciente ola de ataques es que la aplicación limitada de la ley no resolverá el problema y ciertamente no lo hará de la noche a la mañana. Pero Swissport parece haber contenido el ataque con un daño mínimo a su capacidad operativa, lo que habla del hecho de que el ransomware no es una táctica de todo o nada: el "ataque de ransomware exitoso pero limitado" es un término con el que estamos familiarizados. Espero que veamos más.
Detectar y eliminar atacantes de la red se está convirtiendo en una tarea operativa diaria en muchas organizaciones. Aunque el ataque no se detuvo antes del cifrado, Swissport parece haberlo contenido rápidamente y limitado con éxito el daño. Lo más importante, especialmente para las infraestructuras críticas, son los procesos de respaldo rápidos y funcionales, como lo ha demostrado de manera impresionante Swissport”.
Fabian Gentinetta de Experto en Ciberseguridad Vectra IA
El daño causado por el ransomware puede ser inmenso
“Hemos visto el daño que pueden causar los ataques de ransomware cuando las empresas no funcionan, lo que a su vez afecta la cadena de suministro y la vida de los ciudadanos. Los recientes ataques contra Oiltanking en Alemania, SEA-Invest en Bélgica y Evos en los Países Bajos y Swissport son preocupantes, pero hablar de ataques coordinados por parte de estados nacionales es prematuro. El escenario más probable es que los atacantes estén trabajando con una base de datos que contiene objetivos similares y acierten con sus esfuerzos.
Si bien puede llevar meses desentrañar los detalles de un ataque, los informes iniciales sugieren que BlackCat, que se cree que es una nueva marca de BlackMatter, podría ser responsable de los ataques a la industria del combustible en toda Europa. En otro caso esta semana, KP Foods también fue víctima de ransomware, y se culpó a Conti por las interrupciones. Lo que sí sabemos sobre estos dos grupos de piratas informáticos es que operan con un modelo comercial de ransomware como servicio (RaaS). Esto significa que es un crimen organizado con bases de datos de víctimas y numerosos socios. Estos no se vinculan a un grupo de ransomware específico, pero a menudo trabajan con varios grupos y usan bots potentes para automatizar la propagación del malware.
Los bots amplifican el efecto.
Desde el punto de vista de la víctima, en realidad es irrelevante quién es el responsable, especialmente porque esto probablemente solo se sabrá en unos pocos meses. La pregunta importante, sin embargo, es cómo se produjeron los ataques. En la mayoría de los casos, como en el caso de BlackMatter y Conti, se trata de una vulnerabilidad conocida que permite que el malware penetre en la infraestructura y cifre los sistemas. BlackMatter es conocido por atacar software de escritorio remoto y explotar credenciales previamente comprometidas, mientras que Conti es conocido por explotar vulnerabilidades como Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) y EternalBlue (CVE). -2017-0143, CVE-2017-0148). Otra vía de ataque es la explotación de configuraciones incorrectas en Active Directory, y se sabe que tanto Conti como BlackMatter utilizan esta táctica.
Las organizaciones deben ser conscientes de que los principios básicos de seguridad pueden bloquear en gran medida la ruta del ataque de ransomware. Los equipos de seguridad deben implementar soluciones que brinden visibilidad, seguridad y control adecuados sobre la nube y la infraestructura convergente. Hago un llamado al negocio: Identifique los sistemas críticos de los que depende para funcionar. Identifique cualquier vulnerabilidad que afecte a estos sistemas y luego tome medidas para parchear o remediar el riesgo. Además, tenga cuidado con los privilegios excesivos en Active Directory que permiten a los atacantes elevar sus privilegios e infiltrarse aún más en la infraestructura. Si no se toman estas medidas básicas, la empresa es vulnerable y corre el riesgo de sufrir interrupciones, independientemente de quien ataque”.
Bernard Montel, director técnico y estratega de seguridad de EMEA Sostenible