Las herramientas legítimas de administración en remoto (RAT) representan una seria amenaza para las redes industriales
Instaladas en el 31,6% de los equipos de sistemas de control industrial (ICS), a menudo pasan desapercibidas hasta que el equipo de seguridad descubre que los cibercriminales han usado las RAT para instalar software de minería de ransomware o de criptomoneda, o para robar información confidencial o incluso dinero. Esta situación la detectaron los analistas de seguridad de Kaspersky Lab, que realizaron una investigación concreta sobre este problema.
Las RAT son herramientas de software legíimas que permiten a terceros acceder de forma remota a un equipo. A menudo son utilizadas por los empleados de las empresas industriales para ahorrar recursos, pero también pueden ser utilizadas por actores malisiosos para obtener acceso privilegiado a ciertos equipos de forma sigilosa.
Según un informe publicado por Kaspersky Lab ICS CERT, las RATs están muy presentes en todas las industrias. De hecho, casi un tercio de los equipos protegidos por los productos de Kaspersky Lab tienen instaladas RATs. Y, aún más importante, en uno de cada cinco casos, las RATs se incluyen por defecto en el software ICS. Esto las hace menos visibles para los administradores de sistemas y, en consecuencia, más atractivas para los actores de amenazas.
Según el estudio, los usuarios maliciosos utilizan las RATs para:
- Obtener acceso no autorizado a la red objetivo;
- Infectar la red con malware para llevar a cabo acciones de espionaje, sabotaje y hacerse ilegalmente con ganancias realizando operaciones de ransomware o accediendo a activos financieros a través de las redes atacadas
La amenaza más importante planteada por las RATs es su capacidad de obtener privilegios en el sistema atacado. En la práctica, significa obtener control ilimitado sobre una empresa industrial, lo que puede ocasionar importantes pérdidas financieras, así como desastres físicos. Estas capacidades se suelen conseguir a través de ataques de fuerza bruta básicas, que consisten en tratar de adivinar una contraseña probando todas las posibles combinaciones de caracteres hasta encontrar la correcta. Si bien la fuerza bruta es una de las formas más populares de tomar el control de unas RATs, los atacantes también pueden encontrar y explotar vulnerabilidades en el software de las RATs.
“El número de ICS con RAT es bastante preocupante, y muchas organizaciones ni siquieran sospechan lo grande que es el riesgo potencial asociado a las RATs. Por ejemplo, recientemente se han observado ataques a una compañía automovilística, donde uno de los ordenadores tenía instaladas RATs. Esto llevó durante varios meses a intentos frecuentes de instalar malware, con nuestras soluciones de seguridad bloqueando al menos dos de esos ataques cada semana. Si esa compañía no hubiera estado protegida por nuestro software de seguridad, las consecuencias habrían sido devastadoras. Sin embargo, esto no quiere decir que las empresas deben eliminar inmediatamente todo el software RAT de sus redes. Después de todo, estas aplicaciones son muy útiles, ahorran tiempo y dinero. Sin embargo, su presencia en una red debe ser tratada con cuidado, sobre todo en redes ICS, que a menudo son parte de instalaciones de infraestructuras críticas”, dijo Kirill Kruglov, analista senior de segurudad de Kaspersky Lab ICS CERT.
Para reducir el riesgo de ciberataques usando RAT, Kaspersky Lab ICS CERT recomienda implementar las siguientes medidas técnicas:
- Auditar el uso de las herramientas de administración remota de aplicaciones y sistemas utilizados en la red industrial. Eliminar todas las herramientas de administración remota que no sean requeridas por el proceso industrial.
- Realizar una auditoría y desactivar las herramientas de administración remota que vienen con el software ICS (consulte la documentación del software correspondiente para obtener instrucciones detalladas), siempre que el proceso industrial no lo necesita.
- Monitorizar de cerca y registrar eventos para cada sesión de control remoto demandada por el proceso industrial; el acceso remoto debe estar deshabilitado de manera predeterminada y habilitado solo bajo petición y solo por periodos de tiempo limitados.
La versión completa del informe se encuentra disponible en la página web de Kaspersky Lab ICS CERT.
Sobre Kaspersky Lab
Kaspersky Lab es una empresa de ciberseguridad que celebra su 20 aniversario en 2017.El profundo conocimiento de las amenazas y la experiencia en seguridad de Kaspersky Lab se está continuamente transformando en soluciones de seguridad y servicios para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de seguridad incluye su reputada solución de protección de dispositivos finales junto con un número de soluciones de seguridad y servicios para combatir sofisticadas amenazas digitales en constante evolución. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa. Más información en www.kaspersky.es
Síguenos en:
Para más información, contactar con:
eVerythink PR
Virginia Frutos
Tel. +34 91 551 98 91
Mov: 670 502 902
Email: virginia.frutos@everythinkpr.com
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52
Email: vanessa.gonzalez@kaspersky.es
© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servicios de Kaspersky Lab quedan establecidos de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hace responsable de los errores técnicos o editoriales u omisiones presentes en el texto.
