Durante el primer semestre de 2022, la guerra entre Rusia y Ucrania, el aumento del número de dispositivos conectados y las botnets de IoT infectadas por algún tipo de malware, tuvieron el mayor impacto en el panorama de las amenazas a los sistemas de control industrial.
El último informe de seguridad OT/IoT de Nozomi Networks Labs revela que el malware wiper, la actividad de las botnets de IoT y la guerra entre Rusia y Ucrania tuvieron un impacto en el panorama de las amenazas durante el primer semestre de 2022.
Desde que Rusia inició la invasión de Ucrania en febrero de 2022, los investigadores de Nozomi Networks Labs observaron actividad de varios tipos de actores de amenazas, como hacktivistas, APTs de estados nacionales y ciberdelincuentes. Además, han observado el uso intensivo de malware wiper y han sido testigos del surgimiento de una variante de Industroyer, apodada Industroyer2, desarrollada para hacer un uso indebido del protocolo IEC-104, comúnmente utilizado en entornos industriales.
Por otra parte, en el primer semestre de 2022, la actividad de los botnets de IoT maliciosos fue aumentando y se hizo más sofisticada. Nozomi Networks Labs estableció una serie de honeypots con el fin de atraer a estas botnets maliciosas y capturar su actividad para proporcionar información adicional sobre la forma en que los actores de las amenazas se dirigen al IoT. Con este estudio, los analistas de Nozomi Networks Labs revelaron la creciente preocupación por la seguridad tanto de las contraseñas codificadas como de las interfaces de Internet para las credenciales de los usuarios finales. Entre enero y junio de 2022, los honeypots de Nozomi Networks encontraron:
• Marzo fue el mes más activo, con casi 5.000 direcciones IP de autores de ataques recopiladas.
• Las principales direcciones IP de los atacantes estaban relacionadas con China y Estados Unidos.
• Las credenciales «root» y «admin» fueron el objetivo más frecuente y se utilizaron en múltiples variaciones como forma en que los atacantes accedieran a todos los comandos del sistema y a cuentas de usuarios.
En lo que respecta a la vulnerabilidad, la industria manufacturera y de energía siguen siendo los sectores más vulnerables, seguidos por la sanidad y las instalaciones comerciales. Durante los seis primeros meses del año 2022:
• El CISA publicó 560 CVEs (Common Vulnerabilities and Exposures), un 14% menos que en el segundo semestre de 2021
• El número de proveedores afectados aumentó un 27%.
• Los productos afectados también aumentaron un 19% con respecto al segundo semestre de 2021
«Este año el panorama de las ciberamenazas es complejo», dijo Roya Gordon, evangelista de investigación de seguridad OT/IoT de Nozomi Networks. «Numerosos factores como el aumento del número de dispositivos conectados, la sofisticación de los actores maliciosos y los cambios en las motivaciones de los ataques, están aumentando el riesgo de una brecha o un ataque ciberfísico. Afortunadamente, las defensas de seguridad están evolucionando también. Existen soluciones disponibles para dar a las organizaciones de infraestructuras críticas visibilidad sobre la red, detección dinámica de amenazas y la inteligencia procesable que necesitan para minimizar el riesgo y maximizar la resiliencia.»
El «Informe de seguridad OT/IoT» de Nozomi Networks ofrece a los profesionales de la seguridad los últimos conocimientos necesarios para reevaluar los modelos de riesgo y las iniciativas de seguridad, junto con recomendaciones prácticas para proteger las infraestructuras críticas. Este último informe incluye:
• Una revisión del estado actual en materia de ciberseguridad
• Tendencias en el panorama de las amenazas y soluciones para abordarlas
• Una síntesis de la crisis de Rusia/Ucrania, destacando las nuevas herramientas maliciosas y el malware relacionados.
• Información sobre botnets de IoT, sus correspondientes indicadores de compromiso (IoC) y las tácticas, técnicas y procedimientos (TTPs) de los actores de amenazas
• Recomendaciones y análisis de previsión