El Ransomware apunta a los Sistemas de Control Industrial

Fecha de publicación
Cateogría del artículo Actualidad Industrial
Visualizaciones del artículo Leído  1277  veces
Tags del artículo

El nuevo malware Ekans ha sido diseñado específicamente para apuntar al software ICS basado en Windows y después de cifrar los archivos del sistema de control emite una nota de rescate

El Ransomware apunta a los Sistemas de Control Industrial

Los investigadores de la firma de ciberseguridad Dragos han descubierto una nueva forma de ransomware que creen que es el primero en atacar específicamente los Sistemas de Control Industrial (ICS). Llamado Ekans, el malware está diseñado para terminar ciertos procesos de ICS, cerrándolos hasta que se pague un rescate.

En un blog que examina Ekans, Dragos dice que representa una evolución "profundamente preocupante" en el malware dirigido a ICS. "Mientras que anteriormente el malware específico para ICS o relacionado con ICS era únicamente el campo de juego de entidades patrocinadas por el estado", dice, "Ekans parece indicar que los elementos no estatales que persiguen ganancias financieras ahora también están involucrados en este espacio ".

El ransomware ha afectado a los entornos de ICS anteriormente, pero esto fue en forma de malware centrado en TI que se extendió a entornos de control a través de sistemas empresariales. El nuevo malware ha sido diseñado específicamente para apuntar al software ICS basado en Windows e incluye referencias al historiador de datos Proficy de GE, la aplicación HMIWeb de Honeywell y el conjunto de conectividad ThingWorx de PTC, entre otros.

El malware está diseñado para terminar 64 procesos de software diferentes. Simplemente los detiene y no puede inyectar comandos o manipular los procesos de ICS de otras maneras, pero podría provocar una pérdida de visión en las redes, según Dragos. Una vez que los archivos se han cifrado, se renombran agregando cinco caracteres aleatorios a la extensión del archivo original. Ekans luego coloca una nota de rescate en la raíz de la unidad del sistema y en el escritorio.

A diferencia de algunas formas más disruptivas de ransomware, Ekans no reinicia ni apaga un sistema, ni cierra los canales de acceso remoto. No tiene un mecanismo incorporado de propagación o propagación; en su lugar, debe iniciarse de forma interactiva o mediante un script para infectar un host.

Dragos dice que el nivel de impacto que Ekans puede tener en los entornos industriales no está claro. Pero señala que apuntar a los procesos de recopilación de datos e historiador tanto a nivel del cliente como del servidor impone costos significativos a una organización y podría interrumpir las funciones de monitoreo.

Los impactos de la terminación del servidor y del proceso HMI son menos claros. El malware afecta los mecanismos que verifican si un cliente ha pagado sus licencias de software. Otros procesos pueden permitir fallos o "períodos de gracia" para los servidores de licencias, lo que permite que las operaciones continúen por algún tiempo sin un sistema de administración de licencias.

Sin embargo, la incertidumbre es "inaceptable", dicen los investigadores, dado el riesgo de producir una pérdida de control inadvertida. Como resultado, advierten que Ekans (y su presunto padre, llamado Megacortex) "representan un riesgo único y específico para las operaciones industriales que no se habían observado previamente en las operaciones de ransomware".

Si bien algunas organizaciones podrán volver a las operaciones manuales en una emergencia, los costos y las ineficiencias de hacerlo son considerables. Ekans y su matriz por lo tanto "presentan riesgos específicos y únicos y escenarios de imposición de costos para entornos industriales", según los investigadores de Dragos.

Después de cifrar los archivos del sistema de control, el malware Ekans emite una nota de rescate

Se han sugerido que Ekans puede haberse originado en Irán, pero los investigadores dicen que cualquier vínculo de este tipo es "increíblemente tenue", y agregaron que "no existe evidencia sólida o convincente para vincular a lEkans con los intereses estratégicos iraníes".

En la actualidad, Dragos no sabe cómo se distribuye Ekans dentro de las redes de víctimas. Agrega que la defensa principal contra dicho ransomware es evitar que llegue o se propague a través de una red en primer lugar. En su blog, los investigadores sugieren varias técnicas para minimizar los riesgos de infiltración de Ekans en los ICS.

Concluyen que debido a que la implementación de Ekans es "extremadamente primitiva" con un efecto indeterminado en las operaciones industriales, es "más una novedad que un riesgo discreto y preocupante".

A pesar de sus funciones limitadas, Ekans representa una evolución "profundamente preocupante" de las ciberamenazas que se dirigen a los sistemas de control. Y a diferencia del malware anterior dirigido a ICS que se atribuyó a organizaciones patrocinadas por el estado, Ekans parece mostrar que los delincuentes que buscan ganancias financieras ahora también están involucrados.

Los investigadores advierten que corresponde a los propietarios y operadores de ICS aprender lecciones no solo de cómo funciona Ekans, sino también de las muchas formas en que el software malicioso puede propagarse y distribuirse en los sistemas de control, y elaborar estrategias de defensa adecuadas.

Más información