Amenazas OT en 2022: Aumento del spyware y a la infraestructura de automatización de edificios

En la primera mitad de 2022, se bloquearon objetos maliciosos en casi uno de cada tres ordenadores de OT (tecnologías de gestión de procesos de producción) en España, según el panorama de amenazas de ICS de Kaspersky ICS CERT. En su mayoría, los ataques contra las empresas industriales se llevaron a cabo mediante scripts maliciosos y páginas de phishing (JS y HTML). Las infraestructuras de automatización de edificios también han tenido un periodo muy inquieto: casi un tercio de los ordenadores (42%) se enfrentaron a esas ciberamenazas. Dado que estos sistemas pueden no estar totalmente separados de las redes de las organizaciones ubicadas en el edificio, pueden ser un objetivo muy atractivo de acceso inicial para los ciberatacantes.

En el primer semestre de 2022, se bloquearon objetos maliciosos en más del 26% de los ordenadores OT protegidos por las soluciones de Kaspersky en España. Estos equipos se utilizan en los sectores del petróleo y el gas, la energía, la fabricación de automóviles, las infraestructuras de automatización de edificios y otros ámbitos para llevar a cabo una serie de funciones OT, desde las estaciones de trabajo de los ingenieros y operadores hasta los servidores de control de supervisión y adquisición de datos (SCADA) y la interfaz humano-máquina (HMI).

Aumento de las amenazas en el primer semestre de 2022: scripts maliciosos, páginas de phishing y spyware

los delincuentes intentaron atacar los ordenadores industriales mediante scripts maliciosos y páginas de phishing (JS y HTML): estos objetos se bloquearon en más del 16% del total de los ordenadores españoles protegidos.

Los scripts maliciosos y las páginas de phishing son una de las formas más comunes de propagar el spyware. En el primer semestre de 2022 se detectaron en el 16,7% de los equipos OT en España. La otra forma de propagación del spyware es a través de correos electrónicos de phishing con un documento malicioso adjunto. Kaspersky informa de un aumento de casi el doble -hasta casi el 6%- en el porcentaje de ordenadores OT en los que se bloquearon documentos maliciosos en datos globales.

"Es vital proteger los endpoints de OT al igual que los de IT con una solución dedicada, configurada adecuadamente y mantenida al día. La red de OT debe estar separada, todas las conexiones y comunicaciones remotas deben estar aseguradas, supervisadas y controladas, y debe evitarse cualquier acceso no autorizado. Un enfoque proactivo para identificar y eliminar posibles vulnerabilidades y amenazas relevantes podría ahorrar millones en costes de incidentes", comenta Kirill Kruglov, analista senior de Kaspersky ICS CERT.

Automatización de edificios

Casi la mitad de los ordenadores (42%) de las infraestructuras de automatización de edificios, también denominadas sistemas de gestión de edificios (BMS), se enfrentaron a ciberamenazas. Estos ordenadores suelen pertenecer a empresas de servicios, que gestionan los sistemas automatizados de empresas o centros comerciales, municipios y otros tipos de infraestructuras públicas. En cuanto a las instalaciones industriales y los objetos de infraestructuras críticas, suelen poseer los sistemas de gestión de edificios in situ.

En el primer semestre de 2022, los sistemas de gestión de edificios (BMS) se convirtieron en el tipo de infraestructura OT más "inquieta” en cuanto a la actividad de los atacantes, ocupando las primeras posiciones por el porcentaje de dispositivos afectados por diferentes fuentes de amenazas, a saber, recursos de Internet (23%), archivos adjuntos de correo electrónico maliciosos y enlaces de suplantación de identidad (14%, que es dos veces más que la media mundial), documentos maliciosos (11%), troyanos, puertas traseras y keyloggers (13%) y otros.

Los ingenieros y operadores de la automatización de edificios utilizan los recursos de Internet y el correo electrónico de forma más activa que en otras infraestructuras OT. Además, los sistemas de gestión de edificios pueden no estar separados de otras redes internas situadas físicamente dentro del edificio y, por tanto, pueden ser un objetivo atractivo para los actores de amenazas sofisticadas.

"Es natural que este tipo de entornos esté experimentando el impacto de la actividad de los atacantes por su alta exposición y su estado de madurez de ciberseguridad relativamente bajo. Los atacantes comprometen sistemas que podrían tener conexiones con redes internas de fábricas, espacios públicos o incluso instalaciones de infraestructuras críticas. En cuanto a las ciudades inteligentes y las infraestructuras públicas, los sistemas pueden gestionar un distrito entero con acceso al control del alumbrado, la gestión y la información del tráfico rodado y otros tipos de servicios para los ciudadanos, un verdadero "trozo de pastel" para los cibedelincuentes. Lo que es más alarmante, el 14% de todos los ordenadores de los sistemas de gestión de edificios (BMS) fueron atacados con el uso de correos electrónicos de phishing, lo que es 2 veces mayor que la media mundial", dice Kirill Kruglov, analista senior de Kaspersky ICS CERT.

Para leer más sobre el panorama de las amenazas a los ICS en el primer semestre de 2022, visita el sitio web de Kaspersky ICS CERT.

Para mantener sus ordenadores OT protegidos de diversas amenazas, los expertos de Kaspersky recomiendan:

• Realizar evaluaciones de seguridad periódicas de los sistemas OT para identificar y eliminar posibles problemas de ciberseguridad.
• Establecer una evaluación continua de la vulnerabilidad y un triaje como base para un proceso eficaz de gestión de la vulnerabilidad. Las soluciones dedicadas, como Kaspersky Industrial CyberSecurity, pueden convertirse en un asistente eficiente y en una fuente de información procesable única, aunque no todos los datos están en abierto.
• Realizar actualizaciones oportunas para los componentes clave de la red OT de la empresa; aplicar correcciones y parches de seguridad o implementar medidas compensatorias tan pronto como sea técnicamente posible es crucial para prevenir un incidente importante que podría costar millones debido a la interrupción del proceso de producción.
• Utilizar soluciones EDR como Kaspersky Endpoint Detection and Response para la detección oportuna de amenazas sofisticadas, la investigación y la reparación eficaz de los incidentes.
• Mejorar la respuesta a técnicas maliciosas nuevas y avanzadas mediante la creación y el fortalecimiento de las habilidades de prevención, detección y respuesta a incidentes de sus equipos. La formación dedicada a la seguridad de OT para los equipos de seguridad de TI y el personal de OT es una de las medidas clave que ayudan a conseguirlo.

Kaspersky

Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es