Ciberataques en redes industriales de energía y empresas de integración ICS
Las redes industriales de energía y las empresas de integración ICS sufrieron más ciberataques que cualquier otro sector durante los últimos 6 meses de 2017.
El 38,7% de los sistemas de control industrial (ICS) en empresas del sector energético recibieron ataques por malware al menos una vez durante los últimos seis meses de 2017, seguidos de cerca por el 35,3% de las redes de ingeniería e integración ICS, según el informe de Kaspersky Lab. Otros sectores vieron cómo eran atacados entre el 26% y el 30% de sus equipos ICS. La gran mayoría de los ataques tuvieron lugar de forma accidental.
La ciberseguridad de las instalaciones industriales puede tener unas consecuencias muy importantes, afectando a procesos industriales, así como a pérdidas en las empresas. Al analizar el panorama de amenazas en diferentes sectores industriales, Kaspersky Lab ICS CERT encontró que casi todas las industrias sufren regularmente ciberataques en sus equipos ICS.
Según los expertos, el sector energético fue uno de los primeros que comenzó a utilizar ampliamente soluciones de automatización, y ahora es uno de los más informatizados. En los últimos años numerosos incidentes de ciberseguridad y de ataques dirigidos, junto con todos los cambios regulatorios, justifican que las compañías eléctricas y energéticas comiencen a adoptar productos y tomar medidas de ciberseguridad para sus sistemas de tecnología operativa (OT).
Además, las actuales redes eléctricas son uno de los sistemas que más objetos industriales interconectados tiene, con una gran cantidad de equipos conectados a la red y un nivel relativamente alto de exposición a ciberamenazas, como lo demuestran las estadísticas de Kaspersky Lab ICS CERT. A su vez, el alto porcentaje de ordenadores ICS atacados en negocios de integración ICS e ingeniería es otro serio problema, dado que el vector de ataque en la cadena de suministro se ha utilizado en algunos de los ataques más devastadores habidos en los últimos años.
El sector de la construcción tuvo durante el segundo semestre de 2017 el crecimiento más importante de ordenadores ICS atacados, con un 31,1% frente al primer semestre del mismo año. Otras industrias (producción industrial, transporte, servicios públicos, alimentación, sanidad, etc.) oscilaron entre el 26% y el 30% de media.
El porcentaje relativamente alto de equipos ICS atacados en el sector de la construcción, en comparación con la primera mitad de 2017, podría indicar que estas empresas no son suficientemente maduras para prestar la atención necesaria a la protección de las computadoras industriales. Sus sistemas de computación automatizada pueden ser relativamente nuevos y en sus empresas todavía no se ha desarrollado una cultura industrial de ciberseguridad.
El porcentaje más bajo de ataques ICS (14,7%) se ha encontrado en empresas especializadas en el desarrollo de software ICS, lo que nos viene a decir que sus laboratorios de investigación/desarrollo ICS, plataformas de prueba, demostraciones y entornos de formación y capacitación, también son víctimas de ataques por software malicioso, aunque no tan a menudo como los equipos ICS de las empresas industriales. Los expertos de Kaspersky Lab ICS CERT señalan la importancia de la seguridad de los proveedores de ICS, porque las consecuencias de un ataque que se propague por el ecosistema de socios y la base de clientes del proveedor podrían llegar ser dramáticas, como se vio durante la epidemia de malware exPtr.
Entre las nuevas tendencias de 2017, los analistas de Kaspersky Lab ICS CERT descubrieron un aumento en el número de ataques de minería en ICS, que comenzó en septiembre de 2017 siguiendo a la expansión del mercado de criptomoneda y minería en general. Este tipo de ataque puede llegar a representar una de las mayores amenazas para las empresas industriales, al crear una carga de trabajo muy importante en los equipos y, como resultado, afectar negativamente el funcionamiento de los componentes ICS de la empresa, amenazando su estabilidad. En general, durante el período comprendido entre febrero de 2017 y enero de 2018, los programas de minería de criptomonedas atacaron al 3,3% de los equipos del sistema de automatización industrial, en la mayoría de los casos de forma accidental.
Otros aspectos destacados del informe son:
• Los productos de Kaspersky Lab bloquearon el intento de infección en el 37,8% de los equipos. Esto es un 1,4% menos que en la segunda mitad de 2016.
• Internet sigue siendo la principal fuente de infección, con el 22,7% de los equipos de ICS atacadas. Esto es un 2,3% más alto que en los primeros seis meses del año. El porcentaje de ataques transmitidos por la red bloqueados en Europa y América del Norte es substancialmente menor que en otros lugares.
• Los cinco países principales, por porcentaje de computadoras ICS atacadas, se ha mantenido sin cambios desde el primer semestre de 2017, e incluyen a Vietnam (69,6%) Argelia (66,2%), Marruecos (60,4%), Indonesia (60,1%) y China (59,5%).
• En la segunda mitad de 2017, la cantidad de modificaciones de malware detectadas por las soluciones de Kaspersky Lab instaladas en los sistemas de automatización industrial, aumentó desde 18.000 a más de 18.900.
• En 2017, el 10,8% de todos los sistemas ICS fueron atacados por agentes de botnet, un malware que secretamente infecta máquinas y las incluye en una red de bots para ejecución remota de comandos. Las principales fuentes de este tipo de ataques fueron Internet, los dispositivos extraíbles y el correo electrónico.
• En 2017, Kaspersky Lab ICS CERT identificó 63 vulnerabilidades en sistemas industriales y sistemas IIoT/IoT, y 26 de ellos ya han sido reparados por los fabricantes.
“Los resultados de nuestros análisis sobre los equipos ICS atacados en diversas industrias nos han sorprendido. Por ejemplo, el alto porcentaje de computadoras ICS atacadas en compañías energéticas y eléctricas, demostró que el esfuerzo de las empresas para garantizar la ciberseguridad en sus sistemas de automatización después de algunos incidentes graves no es suficiente y existen múltiples lagunas que los ciberdelincuentes pueden aprovechar”, dijo Evgeny Goncharov, director de Kaspersky Lab ICS CERT.
“En general, y en comparación con 2016, hemos visto un ligero descenso en el número de ataques ICS. Probablemente esto es una señal de que las empresas han comenzado a prestar más atención a los problemas de ciberseguridad ICS, y están auditando los segmentos industriales de sus redes, formando a los empleados, etc. Es una buena señal, es muy importante que las empresas tomen medidas proactivas para evitar incendios futuros”, añadió.
Kaspersky Lab ICS CERT recomienda que se tomen las siguientes medidas técnicas:
• Actualizar regularmente los sistemas operativos, el software de aplicación y las soluciones de seguridad en los sistemas que forman parte de la red industrial de la empresa.
• Restringir el tráfico de red en los puertos y protocolos utilizados en los enrutadores periféricos y en las redes OT de la organización.
• Auditar el control de acceso al componente ICS en la red industrial de la empresa y en sus límites.
• Desplegar soluciones dedicadas a la protección de dispositivos finales en los servidores ICS, estaciones de trabajo y HMI para proteger la infraestructura OT e industrial contra ciberataques aleatorios.
• Implementar soluciones de monitorización, análisis y detección de tráfico de red para una mejor protección contra ataques dirigidos.