Informe de inteligencia sobre ciberamenazas Volumen 1

En una era de incertidumbre sin precedentes, con tantos dispositivos distribuidos por las redes de las empresas, es un desafío para los profesionales en seguridad de los sistemas de control industrial (ICS) y TO adaptarse al ritmo de las demandas en este campo.

Los incidentes recientes, las interrupciones a gran escala y el costo de las operaciones de secuestro de datos (ransomware) ilustran el impacto cada vez mayor de las ciberamenazas en el riesgo empresarial en todos los segmentos de la industria. Este riesgo es cada vez más difícil de controlar y de mitigar tanto en los entornos de TI como de TO.

Si bien el funcionamiento de los sistemas industriales se ve facilitado por la virtualización en la nube y los avances de los dispositivos conectados a Internet, estas tecnologías también están introduciendo nuevas vulnerabilidades y riesgos en los entornos operacionales. En particular, en los dispositivos perimetrales, tales como los objetos del Internet de las Cosas (IoT), en los conmutadores y en los enrutadores que controlan los datos que fluyen dentro y fuera de la organización. Ubicados en la frontera entre los entornos de TI y de TO, son fundamentales para la seguridad de la TO y las brechas pueden proveer un acceso directo a los entornos de TO, eludiendo por completo las redes de TI.

Los responsables en seguridad deben demostrar a los directivos y al consejo de administración que entienden tanto la importancia de la continuidad de las operaciones como de trabajar mancomunadamente con toda la empresa para gestionar el riesgo de manera eficaz.

Nuestros analistas de inteligencia sobre ciberamenazas y respuesta a incidentes han podido conocer de primera mano las tácticas, técnicas y procedimientos (TTP) que emplean algunos de los ciberadversarios más sofisticados. Este informe refleja nuestro análisis del primer semestre del año calendario 2021.

El análisis de Accenture del primer semestre de 2021 identificó cuatro tendencias que están afectando a los entornos de TI y de TO:

• Los objetivos están cambiando: durante los primeros meses de 2021, el enfoque ha estado en infraestructuras críticas y en proveedores upstream como las compañías de seguros que cuentan con abundantes datos.
• Las tácticas se endurecen: el negociador de ransomware de Coveware reportó múltiples casos de fines de 2020 en los que los datos se destruyeron en lugar de encriptarse, impidiendo su recuperación incluso tras el pago del rescate.
• La extorsión se vuelve personal: las nuevas tácticas de exposición, iniciadas en 2020, han ido ganado terreno. Así, la extorsión por fuga de datos agrega a la lista de responsabilidades de las víctimas el temor al daño en su reputación.
• Las tácticas, técnicas y procedimientos (TTP) son más avanzadas: Accenture CTI identificó notables tácticas de evasión defensiva para operadores del ransomware Hades, que se valen de herramientas y acciones desde el teclado para desactivar las defensas de los endpoints.

Las organizaciones deben enfocarse en la preparación, la prevención y las defensas previas a la encriptación.

• Cobalt Strike está proliferando: aunque la plataforma se utiliza desde hace más de una década, el número de ataques con Cobalt Strike aumentó supuestamente un 163% entre 2019 y 2020.
• Las herramientas de ataque están evolucionando: los perpetradores de las amenazas están personalizando sus propios cargadores para lanzar Cobalt Strike –como la facilitación de la campaña de SolarWinds.
• El malware se está fusionando: por primera vez, Accenture CTI ha identificado superposiciones entre la infraestructura del malware de robo de información EvilGrab y el Beacon de Cobalt Strike a principios de 2021.

Las organizaciones necesitan adoptar nuevas herramientas defensivas que puedan contrarrestar esta amenaza creciente a las pruebas de penetración en entornos de producción críticos.

• El commodity malware de primera fase permite el despliegue de más malware en el endpoint.
• El commodity malware de segunda fase, el seudomalware como las instancias de Cobalt Strike pirateadas y abusadas y el malware de seguimiento aumentan el riesgo de que la infección se extienda por toda la infraestructura de una organización e incluso llegue a los activos de TO si se configura con ese propósito.
• Las campañas de malware activas que se observaron incluyen Qakbot e IcedID, DoppelDridex y Hancitor.

Las organizaciones deben considerar la prevención, por encima de la respuesta, para defenderse eficazmente contra el crimeware de alto volumen.

• Los ransomware CLOP y Hades están cambiando las reglas del juego: los informes públicos de principios de 2021 vincularon a los perpetradores del ransomware CLOP con una serie de vulneraciones de datos globales que explotaban una vulnerabilidad recientemente descubierta en el ampliamente utilizado Accellion File Transfer Appliance (FTA). Los usuarios del ransomware Hades también ganaron terreno a principios de 2021 y demostraron su capacidad para eludir las herramientas de detección y respuesta de endpoints (EDR)¹ y llegar a los dispositivos perimetrales y a las redes de TO.
• La información es fácil de comprar y aún más fácil de usar: Accenture CTI ha observado un ligero pero notable aumento en la actividad de atacantes que venden registros de malware, los que forman parte de datos derivados del malware de robo de información.

Las organizaciones necesitan compartir información entre los defensores para comprender, prevenir, identificar y responder a la actividad de las amenazas.

Fuente:

¹Welling, Eric, "It's gettting hot in here! Unknown threat group using Hades ransomware to turn up the heat on their victims,” (“¡Está haciendo calor aquí! Un grupo desconocido de atacantes utiliza el ransomware Hades para ‘subir la temperatura’ de sus víctimas”) Accenture, 26 de marzo de 2021. Leer el blog.