Reportaje La infección del ransomware Colonial Pipeline se ha convertido en una advertencia sobre cómo dañar la infraestructura crítica puede causar problemas en el mundo real, con escasez de combustible que provoca largas colas y peleas a puñetazos en las gasolineras. O como Jen Easterly, jefa de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Tío Sam, advirtió al Congreso el miércoles: «Pánico y caos social». Ella y otros jefes de seguridad y aplicación de la ley recalcaron una realidad en la que los Estados-nación que operan contra la infraestructura estadounidense podrían causar estragos y destrucción física, particularmente en el campo de los sistemas de tecnología operativa industrial. El ataque de ransomware Colonial Pipeline tuvo como objetivo los sistemas de TI backend del distribuidor de petróleo. Hasta la fecha, estas infecciones contra proveedores de combustible e Internet, bancos, hospitales y otros sectores críticos que mantienen la vida en funcionamiento solo se han dirigido a redes empresariales. A algunos analistas de seguridad les preocupa que el ransomware diseñado para cerrar sistemas y procesos tecnológicos operativos (como los utilizados en plantas de energía, instalaciones de tratamiento de agua y plantas de fabricación) sea el próximo gran avance. Afortunadamente, todavía se puede ganar mucho dinero con las infecciones tradicionales de ransomware, y los expertos en seguridad de la información dicen que esto debería mantener ocupados a los delincuentes, al menos por el momento. «Dragos evalúa con poca confianza que los grupos de ransomware pueden desarrollar e implementar cada vez más ransomware diseñado específicamente para interrumpir los procesos de tecnología operativa (OT)», advirtió la tienda de seguridad de OT en su análisis trimestral de ransomware más reciente. «Tales interrupciones no sólo afectarían las capacidades operativas sino que también comprometerían la seguridad, aumentando así la urgencia y potencialmente obligando a las víctimas a cumplir con las demandas de rescate más fácilmente», señala el informe. La extorsión ha ido más allá de las pérdidas financieras hacia la seguridad. Dragos responde periódicamente a las infecciones de ransomware en entornos industriales. Y esta evaluación –aunque con «poca confianza»- surge de las cada vez más viles tácticas de extorsión de los delincuentes, diseñadas para aumentar la presión sobre las organizaciones de víctimas para que paguen demandas de rescate, según Abdulrahman Alamri, un alto cazador de adversarios en Dragos. «Mire los métodos de extorsión, la forma en que crean un impacto significativo en las víctimas», dijo a The Register. «Ha ido aumentando en los últimos dos años, especialmente en el caso de las organizaciones industriales». Además, añadió, a medida que los gobiernos intensifican sus esfuerzos para desmantelar las bandas de ransomware y procesar a sus miembros, los grupos criminales adoptan nuevas técnicas para aumentar la presión sobre las víctimas para que paguen. EKANS ransomware «Hemos visto en el pasado grupos que agregaron a su arsenal la capacidad de eliminar procesos OT», observó Alamri. El código al que se refería es EKANS, una variante de ransomware con capacidades que incluyen detener por la fuerza algunas operaciones del sistema de control industrial (ICS). «Si bien todos los indicios muestran actualmente un mecanismo de ataque relativamente primitivo en las redes de sistemas de control, la especificidad de los procesos enumerados en una ‘lista de eliminación’ estática muestra un nivel de intencionalidad previamente ausente en el ransomware dirigido al espacio industrial», advirtió el departamento de seguridad en 2020. Alamri explicó que aún no se ha implementado en un ciberataque, pero que sí existen capacidades para causar daños graves. «La extorsión ha ido más allá de las pérdidas financieras hacia la seguridad», advirtió. «Hemos visto grupos de ransomware anunciar su alineación con diferentes regímenes. Imagínense lo que pasaría si esto se usara como arma». Sin embargo, la amenaza no proviene sólo de los atacantes de los Estados-nación. Si bien un ataque destructivo de Rusia o China que cerrara la red de energía o las instalaciones de agua probablemente se consideraría un acto de guerra, las bandas criminales podrían dar a los gobiernos adversarios una negación plausible. Una vez que equipos con motivación financiera como Lockbit o BlackCat/ALPHV puedan comprar estas capacidades, el director ejecutivo de Dragos, Robert Lee, espera que el ransomware específico de OT se vuelva mucho más común. «Los actores criminales ya no necesitaban desarrollar sus propias capacidades, vulnerabilidades de software malicioso, etc.», explicó Lee. «Literalmente compran herramientas disponibles en el mercado que se usan comúnmente y luego solo se preocupan por operarlas». Al igual que el ransomware tradicional con esteroides, esto aún no ha sucedido, según CISA. «Se podrían establecer paralelos con la eliminación de los PLC», dijo a The Register el líder de ciberseguridad de CISA Industrial Control Systems, Matt Rogers. En diciembre pasado, CISA, junto con el FBI, la Agencia de Seguridad Nacional y otros advirtieron que cibermatones vinculados a Irán habían explotado controladores lógicos programables (PLC) fabricados en Israel utilizados en «múltiples» sistemas de agua y otros entornos tecnológicos operativos en instalaciones en todo Estados Unidos. según múltiples agencias policiales. «¿Fue ransomware? No. El dispositivo fue efectivamente actualizado y se eliminó todo el código», explicó Rogers, señalando que estos incidentes produjeron un impacto similar en los sistemas OT, aunque con una recuperación más fácil para los defensores. «El modelo de negocio del ransomware es comprar y compartir herramientas», añadió. «Desarrollar capacidades que infecten específicamente los sistemas OT cuesta dinero, y ya están ganando dinero a manos llenas, así que ¿para qué molestarse?» Por supuesto, cerrar los controles industriales sería «muy malo» y provocaría una respuesta «mucho más voraz» por parte de las autoridades, según Rogers. «Si no puedes manejar el ransomware de TI tradicional, ciertamente no podrás manejar la recuperación del ransomware de OT», afirmó. Las configuraciones de OT, así como el respaldo y la recuperación de estos sistemas y procesos, son más complejas que los entornos de TI empresariales estándar. Muchas veces, los propietarios y operadores de infraestructuras críticas contratan directamente a los proveedores de OT e ICS para gestionar las actualizaciones y las operaciones. CISA recomienda que las organizaciones industriales sigan las mejores prácticas y empleen medidas de prevención para el ransomware tradicional. Pero también hay consejos específicos de OT, como hacer una copia de seguridad de las configuraciones de OT y de la lógica de escalera, señaló Rogers. «Las organizaciones deben mejorar mucho en cuanto a poder recuperarse de un ataque», observó Rogers. «Ese es el mayor problema con el ransomware en este momento. Es cierto para TI. Sin duda es cierto para OT, y luego el impacto de la infraestructura crítica cae igual o peor». Por lo general, las empresas víctimas tardan al menos cinco meses en recuperarse de una infección, informó. «Eso no será aceptable para la infraestructura crítica». Aumento del 200 por ciento en los intentos contra servicios públicos OT e IoT La empresa de seguridad Armis, en su análisis del panorama de ataques de 2023, informó un aumento interanual del 104 por ciento en intentos de intrusiones en todos los ámbitos, mientras que los intentos específicos de servicios públicos durante este mismo período crecieron en un 200 por ciento. Este aumento representa intentos de ataque dirigidos a cualquier activo físico y virtual dentro de los entornos de las empresas de servicios públicos, incluidos TI, IoT, OT, ICS, sistemas de gestión de edificios y otros, explicó Carlos Buenaño, CTO de Armis de OT. Buenaño experimentó esto de primera mano mientras trabajaba para una empresa de energía. «En un lapso de cinco minutos, pude ver cómo intentaban acceder a nuestra zona desmilitarizada y usar la fuerza bruta para ingresar al entorno de OT», dijo a The Register. Armis identificó las estaciones de trabajo de ingeniería, los servidores SCADA y los PLC como los dispositivos OT e ICS de mayor riesgo fuera de la industria de la salud. El análisis de 12 meses nombró a las estaciones de trabajo de ingeniería como el dispositivo OT más objetivo del año. «El hecho es que debemos estar preparados, porque el hecho de que no hayamos visto ataques exitosos de ransomware contra OT no significa que no se hayan intentado», advirtió. Sin embargo, asegurar la OT presenta sus propios desafíos únicos. Estos entornos no se pueden desactivar para realizar mantenimiento frecuente, lo que significa que las vulnerabilidades permanecen expuestas durante períodos prolongados entre interrupciones programadas. «Los atacantes conocen las vulnerabilidades, saben que estos dispositivos son críticos y muy, muy difíciles de proteger por muchas razones», explicó Buenaño. «Están diseñados para continuar ejecutándose y encontrar esa ventana de apagado para corregirlos, actualizar el firmware o incluso reemplazarlos cuando lleguen al final de su vida útil puede ser muy complejo y requerir mucha programación y estrategia». También está el problema de que los dispositivos OT estén expuestos a Internet. Armis descubrió durante el último año que alrededor del 80 por ciento de las estaciones de trabajo de ingeniería y el 60 por ciento de los servidores SCADA tenían acceso a Internet, lo que aumenta la superficie de ataque y el riesgo de las organizaciones. Diseño no tan seguro Además, muchos dispositivos de control industrial vienen con contraseñas predeterminadas (que los operadores no cambian) y algunos ni siquiera admiten la autenticación multifactor. Todas estas cuestiones entraron en juego en el caso de la tripulación iraní irrumpiendo en instalaciones de agua con base en Estados Unidos. Probablemente entraron utilizando contraseñas predeterminadas para los PLC con acceso a Internet. Y en al menos un caso, el ciberataque obligó a una autoridad de agua de Pensilvania a cambiar una estación de bombeo al control manual. La solución, según Ilan Barda, fundador y director ejecutivo de la empresa de ciberseguridad OT Radiflow, se basa en un enfoque doble. «En algunos lugares la solución será la resiliencia, es decir, la capacidad de reemplazar los dispositivos», dijo Barda a The Register. Esto podría significar un sistema redundante en caliente, es decir, varias unidades que realizan la misma función, o un sistema redundante en frío, en el que una se activa si falla el sistema maestro. «Esto debe hacerse basándose en un análisis de la importancia de los dispositivos y el impacto de su apagado», explicó. Además de la resiliencia, también existe la necesidad de proteger mejor los dispositivos y garantizar que todos los controles de autenticación y acceso estén habilitados, agregó Barda. «Actualmente, el nivel de seguridad suele ser un nombre de usuario y una contraseña muy simples, en todo caso», afirmó. «En la mayoría de los casos, no utilizan autenticación multifactor. Y en muchos casos, también se utiliza el mismo acceso para el proveedor y para el mantenimiento de terceros». Disponibilidad versus seguridad El acceso limitado y los métodos de autenticación más estrictos no se utilizan con frecuencia «porque es mucho más fácil trabajar sin ellos», se lamentó Barda. «La preocupación es que si se implementan demasiadas de estas medidas de seguridad, en realidad podrían interferir con sus operaciones». Y ahí radica el problema: la infraestructura crítica tiene que ver con el tiempo de actividad y la disponibilidad, y la seguridad, justa o no, se considera el enemigo de la disponibilidad. «Muchas de estas organizaciones todavía están priorizando la disponibilidad sobre la seguridad cibernética real», explicó Andy Thompson, un evangelista de investigación de seguridad cibernética ofensiva en CyberArk. «Entonces, aunque puede haber orientación gratuita y disponible, no la siguen porque tiene ramificaciones potenciales de disponibilidad si se hace incorrectamente». Además, también existe una enorme brecha presupuestaria y de habilidades entre los sectores de infraestructura crítica y las organizaciones dentro de la misma industria. «La infraestructura crítica de tratamiento de agua varía desde organizaciones metropolitanas muy grandes hasta pequeños municipios», dijo Thompson a The Register. «Las instalaciones municipales de tratamiento de agua más pequeñas, debido a muchas cosas como presupuestos limitados, infraestructura obsoleta y experiencia limitada dentro de estas organizaciones, son organizaciones ricas en objetivos y pobres en recursos que constituyen objetivos fantásticos para atacantes oportunistas de ransomware». Thompson destacó los recursos de CISA para proteger los sistemas de agua (estos también están disponibles para otros sectores de infraestructura crítica en los EE. UU.) y señaló que muchas de las recomendaciones del gobierno se reducen a una higiene básica de seguridad. Esto incluye el uso de contraseñas seguras y únicas y la activación de la autenticación multifactor, si es posible. Además, utilizando segmentación de red y sistemas críticos con espacios de aire. «Si se trata de infraestructura crítica, protéjala como si fuera infraestructura crítica», declaró. «Este es un procedimiento operativo estándar en entornos de TI y debería extenderse también a OT». ®

Source link