Inicio Noticias Más de 2000 organizaciones industriales han sido subordinadas y utilizadas por piratas...

Más de 2000 organizaciones industriales han sido subordinadas y utilizadas por piratas informáticos para propagar nuevos ataques.

49
0

A diferencia de muchas campañas de software espía convencionales, estos ataques se destacan por el número limitado de objetivos en cada ataque y la vida útil muy corta de cada muestra maliciosa.

En la primera mitad de 2021, los expertos de Kaspersky ICS CERT notaron una curiosa anomalía en las estadísticas sobre amenazas de spyware bloqueadas en computadoras ICS. Aunque el malware utilizado en estos ataques pertenece a conocidas familias de spyware, como Agent Tesla / Origin Logger, HawkEye y otros, estos ataques se diferencian de los convencionales por el número muy limitado de objetivos a los que apunta cada ataque (desde un número muy pequeño a unas pocas docenas de objetivos) y la vida útil muy corta de cada muestra maliciosa.

Una mirada más cercana a 58 586 muestras de spyware bloqueadas en computadoras ICS en la primera mitad de 2021 mostró que aproximadamente el 21,2 % de ellas formaban parte de esta nueva serie de ataques de corta duración y de corta duración. Su vida útil es de unos 25 días, mucho más corta que la vida útil de una campaña de spyware «tradicional».

Aunque cada una de estas muestras de software espía «anormales» desaparece rápidamente y no se distribuye ampliamente, representan una parte desproporcionadamente grande de todos los ataques de software espía. En Asia, por ejemplo, una de cada seis computadoras con spyware se vio afectada por una de las muestras de spyware «anormales» (2,1% de 11,9%).

Vale la pena señalar que la mayoría de estas campañas se propagan de una empresa industrial a otra a través de correos electrónicos de phishing bien diseñados. Una vez dentro del sistema de la víctima, el atacante utiliza el dispositivo como servidor C2 (comando y control) para el siguiente ataque. Con acceso a la lista de correo de la víctima, los delincuentes pueden abusar del correo electrónico corporativo y propagar el spyware aún más.

Leer:  El príncipe Alberto de Mónaco paga a su esposa 12 millones de euros al año para cumplir con sus deberes reales

Según Kaspersky ICS CERT Telemetry, más de 2000 organizaciones industriales de todo el mundo se han integrado en infraestructura maliciosa y las bandas cibernéticas las han utilizado para propagar sus ataques a otras organizaciones y socios comerciales. El número total de cuentas corporativas comprometidas o robadas como resultado de estos ataques se estima en más de 7000.

Los datos importantes obtenidos de las computadoras ICS a menudo llegan a varios mercados. Los expertos de Kaspersky han identificado más de 25 mercados diferentes donde se han vendido credenciales robadas a estas organizaciones industriales. El análisis de mercado ha mostrado una gran demanda de credenciales para cuentas corporativas, especialmente para cuentas de escritorio remoto (RDP). Más del 46% de todas las cuentas RDP vendidas en los mercados analizados están en manos de empresas estadounidenses, mientras que el resto proviene de Asia, Europa y América Latina. Casi el 4% (casi 2.000 cuentas) de todas las cuentas RDP vendidas pertenecían a empresas industriales.

Otro mercado en crecimiento es el software espía como servicio. Debido a que los códigos fuente de algunos programas populares de spyware se han hecho públicos, están ampliamente disponibles en las tiendas en línea como un servicio: los desarrolladores no solo venden malware como producto, sino también una licencia para un generador de malware y acceso a infraestructura preconfigurada para construir programa malicioso

Leer:  Anonymous informa que ha roto los servidores del FSB ruso. Lo que Putin y Shoigu dijeron sobre Ucrania

Para garantizar la protección adecuada de una empresa de la industria, así como de las operaciones de sus socios, los expertos de Kaspersky recomiendan:

  • Implemente la autenticación de dos factores para acceder al correo electrónico corporativo y otros servicios (incluidos RDP, puertas de enlace VPN-SSL, etc.) que podría usar un atacante para obtener acceso a la infraestructura interna y los datos críticos de la empresa.

  • Asegúrese de que toda la capa de punto final, tanto las redes de TI como las de TO, estén protegidas con una solución de seguridad moderna a nivel de punto final que esté correctamente configurada y actualizada.

  • Capacite regularmente a su personal para administrar de manera segura los correos electrónicos entrantes y proteger sus sistemas contra el malware que puede estar oculto en los documentos y enlaces recibidos en el correo electrónico.

  • Revise sus carpetas de correo no deseado regularmente en lugar de vaciarlas.

  • Supervise la exposición de las cuentas web de su organización.

  • Utilice soluciones de espacio aislado diseñadas para probar documentos automáticamente en el tráfico de correo electrónico entrante. Sin embargo, asegúrese de que la solución de sandbox esté configurada para no omitir correos electrónicos de fuentes «confiables», incluidas organizaciones de socios y contactos, ya que nadie está 100% protegido por un compromiso de seguridad.

  • Pruebe los archivos adjuntos en los correos electrónicos enviados por su organización para asegurarse de que los datos que contienen no se vean comprometidos.

Si te gusta este artículo, esperamos unirte a la comunidad de lectores en nuestra página de Facebook, con un Me gusta a continuación:

Artículo anteriorEl «Reloj del Apocalipsis» se mantiene estable durante 100 segundos hasta que ocurre el desastre: «Estamos atrapados en un momento peligroso»
Artículo siguienteEl parlamento ruso debatirá la propuesta de los parlamentarios a Putin para reconocer la independencia de las regiones de Donetsk y Lugansk
Ingeniero mecánico de formación, trabajé en la industria durante 10 años, sobre todo en el sector nuclear. Llevo varios años trabajando como redactor web, utilizando mis conocimientos técnicos para escribir artículos sobre temas específicos, como las finanzas,