MetaDefender ofrece ahora análisis de amenazas y visibilidad para la protección de sistemas de control industrial (ICS) en infraestructuras críticas
La rapidez con la que evolucionan el malware y las técnicas de ataque, unida al aumento de las tensiones geopolíticas a nivel mundial, ha cambiado el debate, tanto en el sector público como en el privado, sobre cómo proteger las infraestructuras críticas frente a las
Históricamente, los sistemas de TI y de OT/ICS han estado completamente aislados entre sí, pero a medida que avanza la transformación digital, estos dos mundos se están fusionando rápidamente.
Como consecuencia, los ciberdelincuentes están utilizando malware para infiltrarse específicamente en las redes de tecnología operativa (OT) con el fin de secuestrar los sistemas de los que dependen los países, sabiendo que los objetivos no pueden permitirse el tiempo de inactividad que suele producirse cuando el ransomware afecta al lado de las tecnologías de la información (TI) de la empresa.
El aumento de los ataques contra los sistemas de control industrial (ICS) pone en peligro la seguridad de la población, que depende de las infraestructuras críticas para satisfacer sus necesidades básicas. Ya lo hemos visto con los ataques de grupos iraníes contra las infraestructuras petroleras saudíes mediante Triton y SandWorm, y contra las empresas eléctricas ucranianas mediante Black Energy en 2015 e Industroyer en 2016.
Comprender las vulnerabilidades
Para comprender mejor cómo funciona el malware de sistemas de tecnología operativa (OT), es importante saber dónde se encuentran las vulnerabilidades y cómo se aprovechan. En la mayoría de los casos, se encuentran en los controladores de Windows conectados a estos sistemas y en las instrucciones dirigidas a los sistemas operativos. Entre ellas se incluyen:
- Dispositivos: clientes de interfaces hombre -máquina (HMI), registradores de datos, servidores SCADA y estaciones de trabajo de ingeniería (EWS)
- Plataformas (software ICS): GE Proficy, Honeywell HMIWeb, etc.
- Red: acceso directo a Internet a un entorno ICS mediante la exposición de protocolos operativos como Siemens S7, Omron FINS y EtherNet/IP, además de un acceso VNC mal configurado. Esto puede dar lugar a un movimiento lateral a través de SMB.
Entonces, ¿por qué centrarse en estos Industrial , más allá de las tecnologías de la información?
A los actores estatales les encanta el malware para sistemas de control industrial (ICS), ya que se ajusta a sus objetivos políticos de socavar las infraestructuras, y los servicios de ataque más amplios y profundos dentro de los entornos industriales les permiten hacerlo. Estos actores son también los que cuentan con los recursos necesarios para llevar a cabo con éxito ataques contra los sistemas ICS, ya que estos suelen requerir mayor sofisticación y planificación que un ataque de ransomware, que puede ejecutarse utilizando componentes y servicios «listos para usar».
Comprender las técnicas de ataque
Existe una forma más eficaz de comprender el malware que se esconde tras estos ataques y de ayudar a las organizaciones de infraestructuras críticas a prevenir futuros ataques, asignando todos los comportamientos al Marco MITRE ATT&CK para ICS y a YARA, dos recursos clave con los que los profesionales de la ciberseguridad deberían estar familiarizados:
- MITRE ATT&CK para ICS: Al igual que el marco MITRE ATT&CK para TI, ampliamente adoptado, este marco modela los comportamientos de los ataques que utilizan malware dirigidos a los sistemas Industrial . Al incorporar la correspondencia de comportamientos con el marco MITRE ATT&CK para ICS, herramientas como MetaDefender pueden ayudar a los defensores a identificar rápidamente cómo el malware intenta atacar sus sistemas y a responder de forma más eficaz.
A modo de ejemplo, analizamos Black Energy en el entorno de pruebas y observamos la correspondencia entre los comportamientos específicos de ICS y el marco:
- YARA para la protección, la detección y la búsqueda de amenazas: al incorporar conjuntos de reglas YARA para sistemas de control industrial (ICS), las herramientas de análisis —entre ellas OPSWAT Sandbox OPSWAT pueden identificar con mayor eficacia los atributos del malware —tanto estáticos como dinámicos— que coinciden con los atributos maliciosos conocidos del malware para ICS. Aunque los propios archivos de malware suelen ser modificados por los autores de las amenazas para eludir la detección, los atacantes necesitan aprovechar la infraestructura y las herramientas, tácticas y procedimientos (TTP) existentes para ser eficaces. La infraestructura del atacante supone un gran coste irrecuperable que deben reutilizar, y por eso los TTP son comunes en diferentes variantes de malware. Como resultado, los TTP comunes a más de una muestra de malware pueden identificar familias y ayudar en la atribución.
La última versión de MITRE ATT&CK para ICS ofrece el marco de TTP específico para ataques dirigidos a tecnologías operativas, talescomo la inhibición de funciones de respuesta.
La detección de malware especialmente difícil de detectar en infraestructuras críticas requiere capacidades de análisis que deben incluir un análisis estático y dinámico exhaustivo, con la capacidad de identificar las tácticas, técnicas y procedimientos (TTP) específicas de los ataques a sistemas de control industrial (ICS), tal y como se muestra en el análisis de Black Energy que figura a continuación.
La reciente versión de OPSWAT Sandbox .1. Sandbox incluye la asignación de IOC a TTP de ICS, y gracias a las reglas YARA disponibles y al repositorio MISP integrado en OPSWAT MetaDefender Core, las organizaciones pueden protegerse mejor contra las amenazas de malware a través de la solución integral de inteligencia sobre amenazas OPSWAT.
Descubre más sobre las capacidades de análisis de malware OPSWAT
Descubra hoy mismo nuestras soluciones de análisis de malware para sistemas OT
