Las empresas manufactureras, en el punto de mira de los ataques a ordenadores ICS

Kaspersky Lab ha presentado su análisis de la ciberseguridad industrial correspondiente a la primera mitad de 2017. El informe “Panorama de amenazas en los sistemas de automatización industrial en el H1 2017” concluye que las empresas manufactureras fueron más propensas a los ciberataques, ya que uno de cada tres equipos fue objetivo de dichos ataques.

La cifra fue casi idéntica a la del periodo anterior y 1,6 puntos menor que en la segunda mitad de 2016. La mayoría de estos ataques se dirigieron contra empresas fabricantes de todo tipo de productos, materiales y equipamientos. Entre las más afectadas se incluyen empresas de ingeniería, educación y alimentación y bebida. Los sistemas ICS de las empresas energéticas llegaron a suponer el 5% de todos los ataques.

Las cifras hablan por sí mismas: durante estos primeros seis meses del año, los productos de Kaspersky Lab detectaron ataques contra el 37,6% de las decenas de miles de ordenadores ICS que protegen en todo el mundo. Y de esos ordenadores, el 33% de los atacados pertenecía a empresas manufactureras.

Por países, los tres primeros de la lista fueron Vietnam (71%), Argelia (67,1%) y Marruecos (65,4%). Los analistas detectaron un importante aumento en el número de ataques en China (57,1%), situándose en el quinto puesto de países. España se encuentra fuera del Top 10 de países más atacados. Los analistas de Kaspersky Lab también descubrieron que la principal vía de ataque estaba en las webs: se bloquearon intentos de descargar malware o de acceder a webs de phishing o con contenidos peligrosos en el 20,4% de los sistemas ICS. La razón para este elevado número se encuentra en el libre acceso y conexión de las redes industriales a Internet, lo que supone una importante amenaza para la infraestructura industrial en su conjunto.

En total, en los primeros seis meses de 2017, Kaspersky Lab detectó en sistemas de automatización industrial, más de 18.000 versiones de malware pertenecientes a 2.500 familias diferentes.

Kaspersky Lab destaca también en este informe que el mundo se enfrentó a una epidemia de ransomware durante la primera mitad de año, que también afectó a las empresas industriales. Según el estudio de Kaspersky Lab ICS CERT, el número de equipos ICS únicos atacados por troyanos cifradores se incrementó y triplicó hasta el mes de junio. En su conjunto, los expertos descubrieron ransomware de cifrado perteneciente a 33 familias diferentes. La mayoría fueron distribuidos mediante correos electrónicos spam, disfrazados de correos empresariales que incluían anexos maliciosos o enlaces a descargadores de malware.

Grosso modo, éstos son los apuntes más destacados del informe de Kaspersky Lab:

• El 0,5% de los ordenadores en la infraestructura industrial de las organizaciones fue víctima de ataques por ransomware de cifrado al menos una vez.

• Los equipos ICS en 63 países de todo el mundo fueron objetivo de numerosos ataques de ransomware de cifrado. Entre ellos, los más conocidos fueron las campañas de WannaCry y ExPetr.

• La epidemia WannaCry se situó a la cabeza de las familias de ransomware de cifrado y afectó al 13,4% de todos los ordenadores de las infraestructuras industriales. Entre las organizaciones más atacadas se cuentan las sanitarias y el sector público.

• ExPetr fue otra de las campañas de ransomware de cifrado más notables que tuvieron lugar en la primera mitad del año. Atacó al menos al 50% de las empresas manufactureras y las del sector del gas y petróleo.

• Entre el Top 10 de las familias de troyanos de cifrado se incluyen también Locky y Cerber, en activo desde 2016, y situadas entre las más rentables para los cibercriminales.

“El hecho de los sistemas ICS de las empresas manufactureras supongan un tercio de todos los ataques es un gran problema de seguridad. Hay muchos riesgos de que un ciberataque llegue a dañar los sistemas de automatización industrial de las empresas, con importantes consecuencias para la economía en su conjunto. Si tenemos en cuenta que en los primeros seis meses del año observamos distribución de malware de cifrado muy activo, y que pensamos va a continuar, la probabilidad de que se produzca un ataque destructivo es muy alta”, explica Evgeny Goncharov, responsable del departamento de defensa de infraestructuras críticas de Kaspersky Lab.

Claves de protección

Para proteger un entorno ICS ante posibles ciberataques, Kaspersky Lab ICS CERT recomienda que se tomen las siguientes medidas:

• Realizar un inventario de los servicios de red actuales, con especial énfasis en los servicios que ofrecen acceso remoto a FSO (file system objects).

• Auditar el aislamiento de los componentes de acceso, la actividad de la red en la red industrial de la empresa y sus límites, políticas y prácticas relacionadas con el uso de dispositivos portátiles y de los dispositivos extraíbles.

• Verificar como mínimo la seguridad de los accesos remotos a la red industrial y reducir la complejidad, reduciendo o eliminando, en la medida de los posible, el uso de herramientas de administración remotas.

• Mantener actualizadas las soluciones de seguridad de dispositivos finales.

• Utilizar métodos avanzados de protección: desplegar las herramientas que permitan monitorizar el tráfico de la red y detectar los ciberataques que tengan lugar en las redes industriales.