El descubrimiento de nuevas formas de ransomware, especialmente diseñados para atacar redes operativas, marca un nuevo desarrollo en el campo de los ciberataques industriales. Al dirigirse directamente a las líneas de producción, este malware está cambiando el perímetro de seguridad digital de los grupos industriales al golpear en su núcleo central. ¿Y si la desestabilización de las líneas de producción fuera el nuevo objetivo de los ciberataques?
La noticia llegó en un tweet. El 6 de enero de 2020, el investigador Vitali Kremez, del grupo Malware Hunter Team, anunció el descubrimiento de Snake (o Ekans), un ransomware capaz de derribar las redes industriales y paralizar las líneas de producción.
2020-01-06: 🆕🔒#Golang #Ransomware "#EKANS" aka "#SNAKE"🐍
🎯Targeted Ransomware|"We breached your corporate network..."
Str->'FileName'->'IV'->'ENCRYPTED_AES_Key'->'EKANS' Marker
Path:
👾C:/Users/WIN1/go/src/.../crypt.go
h/t @malwrhunterteam cc @demonslay335 @BleepinComputer pic.twitter.com/mnf4fhYlD4— Vitali Kremez (@VK_Intel) January 6, 2020
Esta noticia causó un gran revuelo en la comunidad cibernética. Sin embargo, Snake no es el primer ransomware que apunta a las redes OT. En 2019, el ransomware LockerGoga causó grandes trastornos, en particular para el productor noruego de aluminio Norsk Hydro – poniendo en peligro sus actividades operativas y causando graves pérdidas financieras. Entonces, ¿por qué tanto alboroto por Snake? Principalmente porque se cree que este ransomware es capaz de atacar aún más servicios que sólo se utilizan dentro de las redes industriales. Con el número de ciberataques y su complejidad en aumento, ¿debemos esperar ahora que la producción industrial se convierta en el principal objetivo de los ciberatacantes? Después de Industroyer, ¿el advenimiento de Snake marca un nuevo desarrollo en el campo de la ciberseguridad para los sistemas industriales?
La fabricación y el entorno industrial
La fabricación es un sector sensible con una serie de características específicas, que son todas posibles vulnerabilidades. El primer desafío se refiere a la esperanza de vida de los equipos, que están diseñados para un promedio de veinte años de uso. En la mayoría de los centros industriales, "se encuentra una combinación de infraestructuras de diferentes épocas, con arquitecturas de red y sistemas operativos recientes y no tan recientes, que no todas presentan estándares de seguridad avanzados, ya que las actualizaciones son costosas", subraya Vincent Riondet, gerente de los equipos de Servicios y Proyectos de Ciberseguridad de Schneider Electric France. Es el caso, por ejemplo, de las estaciones de trabajo informáticas dedicadas al mando y control de las máquinas: suelen ejecutar versiones muy antiguas del sistema operativo Windows, que por lo general no estaban conectadas a Internet. "Muchos sistemas tradicionales de control de plantas pueden estar ejecutando sistemas operativos anticuados que no pueden ser fácilmente intercambiados o una configuración personalizada que no es compatible con los paquetes de seguridad estándar de las TI", añade el investigador Nisarg Desai en un artículo de su blog.
Y así encontrará una combinación de infraestructura de diferentes edades con arquitecturas de red y sistemas operativos recientes y no tan recientes, donde no todos cuentan con estándares de seguridad avanzados ya que las actualizaciones son costosas
Vincent Riondet, gerente de los equipos de Servicios y Proyectos de Ciberseguridad de Schneider Electric Francia
Otro problema es la falta de uniformidad entre los proveedores de equipos, software de control y componentes. No todos ellos cumplen los mismos requisitos, estándares o condiciones en lo que respecta a la creación, el control y otros factores. Una sola vulnerabilidad o una sola puerta trasera puede hacer caer toda la línea de producción. Como esas líneas de producción suelen ser complejas y en ellas intervienen partes interesadas que no se comunican entre sí, pueden ser particularmente vulnerables a los ataques externos. Y para complicar aún más las cosas, algunas operaciones de mantenimiento pueden ser realizadas por operadores externos que utilizan medios basados en USB para actualizar o configurar el equipo. También en este caso, este tipo de trabajo puede proporcionar un canal para los ciberataques, ya que en la mayoría de los casos los servidores no están protegidos.
Por último, al igual que el resto del entorno industrial, la cadena de producción, que durante mucho tiempo se consideró como un sistema aislado, lo es cada vez menos. El propio término convergencia IT-OT implica la conexión de redes OT, una de las principales vías de infección. Como resultado de esta conectividad, la cadena de producción se enfrenta ahora a nuevos riesgos cibernéticos, ya muy conocidos por el mundo de TI.
Riesgos relacionados con la fabricación
Desde la cadena de suministro hasta las redes, la medida en que la fabricación está expuesta al riesgo de las ciberamenazas ha aumentado considerablemente en los últimos años. Y con ello, el alcance de los efectos potencialmente devastadores. Por ejemplo, el fabricante danés Demant, que fabrica audífonos, ya ha sido víctima de un bloqueo de sus líneas de montaje en septiembre de 2019. ¿El costo estimado del rescate? Más de 95 millones de dólares. La mayoría de estas pérdidas se deben a la pérdida de contratos y a la incapacidad de la empresa para cumplir sus pedidos, explicó la empresa.
Es fácil imaginar que un ataque dirigido contra sistemas operativos vulnerables, por ejemplo, permitiría comprometer los sistemas de mando y control de varias empresas de la industria alimentaria o del sector farmacéutico, lo que daría lugar a la fabricación de productos defectuosos. Esto supondría un riesgo enorme para esas empresas, que deben garantizar la completa trazabilidad de sus productos como parte de sus sistemas de control de calidad. También existe un riesgo importante de espionaje industrial mediante ataques dirigidos. Por último, no hay que olvidar que ciertos ciberataques contra las líneas de producción pueden poner en peligro el bienestar físico de los propios operadores y provocar graves incidentes medioambientales.
Para comprender plenamente el atractivo del sector manufacturero para los ciberataques, debemos considerar el modelo de negocio de estas empresas industriales. Porque aparte de la cobertura mediática garantizada en caso de disrupción sostenida, los ciberataques están motivados sobre todo por el deseo de obtener beneficios económicos. En efecto, las líneas de producción paradas implican claras pérdidas para las empresas, factor que puede hacer que estas empresas industriales estén más dispuestas a pagar rescates con prontitud. Aunque sin garantía de recuperar nada.
Industria 4.0: ampliando el alcance del ataque
En un momento en que la industria del futuro está emergiendo, el desarrollo de la Internet Industrial de las Cosas (IIoT), la digitalización de las fábricas y la tecnología de inteligencia artificial están haciendo que las redes OT estén cada vez más conectadas y sean más comunicativas, en particular en lo que respecta a las redes TI. Pero esta ultra conexión las expone aún más a las amenazas. "Sobre todo porque las redes OT a menudo no tienen ninguna barrera de red o de endpoint", añade Vincent Riondet. Por lo tanto, los numerosos y diferentes componentes de la OT son todos posibles puntos de entrada, en particular porque la convergencia entre TI y OT sigue siendo en gran medida delicada o incluso inoperante en ciertos casos.
"Con la industria 4.0, el número de puntos de acceso ha aumentado en respuesta a una necesidad de interconexión, que se ha llevado a cabo sin pensar realmente en la seguridad por diseño", explica Vincent Riondet. La llegada de la IoT industrial y la integración automática de pedidos o la llegada de la realidad aumentada y virtual han abierto nuevas vulnerabilidades. En mayo de 2017, en colaboración con la Universidad Politécnica de Milán, otro actor del sector de la ciberseguridad demostró que era posible tomar el control total de un robot e instalar en él un malware capaz de "reprogramarlo".
Garantizar la integridad del sector OT
¿Cómo se están enfrentando las empresas del sector a estas nuevas amenazas, que marcan un nuevo desarrollo en el mundo de la ciberseguridad industrial? Por el momento, los esfuerzos para garantizar la ciberseguridad del perímetro de fabricación no son de naturaleza uniforme. "Mejorar la seguridad del sector OT significa, en primer lugar, proteger más eficazmente los sistemas operativos de los equipos de red", explica Vincent Riondet. Pero, al mismo tiempo, uno de los principales retos en lo que respecta a la seguridad de la infraestructura de fabricación es controlar plenamente las comunicaciones de red.
Cifrar todas las comunicaciones entre las máquinas es, por lo tanto, un paso más hacia una mayor seguridad. "Además de una adecuada segmentación de la red, es posible centrarse en la seguridad de los flujos de datos garantizando la privacidad e integridad de los datos", añade Vincent Seruch, Jefe del Equipo de Seguridad de Sistemas de Control Industrial en Airbus CyberSecurity. "Esto significa trazar un mapa de todas las comunicaciones en las redes informáticas y cifrarlas mediante métodos criptográficos. Pero esto también debe lograrse teniendo en cuenta la necesidad de inspeccionar los flujos de datos". El mantenimiento remoto es otra oportunidad. La realización de actualizaciones remotas permite, por una parte, eliminar los medios potencialmente peligrosos basados en USB y, por otra, limitar el riesgo de errores inherentes a los cambios excesivamente frecuentes de los operadores. El resultado es una mayor eficacia en lo que respecta a las actualizaciones, a condición de que el acceso a este mantenimiento a distancia también esté protegido.
La crisis sanitaria de la Covid-19 plantea hoy en día la cuestión de la soberanía industrial y la reubicación en Europa de ciertas fábricas en sectores estratégicos. La puesta en marcha de un plan de este tipo podría entonces servir de prueba a tamaño natural, en la medida en que esta "desglobalización industrial" iría acompañada de una mayor automatización. El sector OT estaría cada vez más expuesto. Es justo apostar que, de aquí a entonces, la ciberseguridad industrial habrá adquirido un mayor perfil.
