top of page
Foto del escritorInternational IT

Análisis de Malware: Proteja su Infraestructura Crítica de TI/OT

Actualizado: 28 sept 2022

La velocidad a la que evolucionan el malware y las técnicas de ataque, junto con el aumento de las tensiones geopolíticas globales, ha cambiado el panorama del sector público y privado en la protección de la infraestructura crítica.




Históricamente, los sistemas de TI y OT/ICS han estado completamente aislados entre sí, pero a medida que continúa la transformación digital, estos dos mundos se unen rápidamente.


Como resultado, los ciberdelincuentes están utilizando malware para infiltrarse específicamente en las redes OT para atacar objetivos que no pueden permitirse el tiempo de inactividad que vemos tan a menudo cuando el ransomware ataca los sistemas de TI de las empresas.


Los crecientes ataques a los entornos ICS ponen en peligro la seguridad de la población que depende de infraestructuras críticas para cubrir sus necesidades básicas. Hemos visto que esto sucede con los ataques iraníes a la infraestructura petrolera saudí y con los ataques rusos contra las empresas eléctricas ucranianas utilizando malware como Triton , SandWorm , BlackEnergy e Industroyer .


Entendiendo las vulnerabilidades


Para comprender mejor cómo funciona el malware centrado en entornos OT, es importante comprender dónde residen las vulnerabilidades y cómo se explotan. En la mayoría de los casos, se encuentran dentro de los controladores de Windows que interactúan con estos sistemas y las instrucciones se dirigen a los sistemas operativos que incluyen:

  • Dispositivos : clientes de interfaz hombre-máquina (HMI), historiadores de datos, servidores SCADA y estaciones de trabajo de ingeniería (EWS).

  • Plataformas (software ICS) : GE Proficy, Honeywell HMIWeb, etc.

  • Redes : acceso directo a Internet a un entorno ICS a través de la exposición de protocolos operativos como Siemens S7, Omron FINS y EtherNet/IP, además de acceso VNC mal configurado. Esto puede conducir a un movimiento lateral a través de SMB.


¿Por qué no basta con proteger la infraestructura de TI?


A los ciberdelincuentes patrocinados por estados y países les encanta el malware ICS, ya que se alinea con sus objetivos políticos de socavar la infraestructura crítica a través de ataques amplios y profundos en entornos industriales. Estos actores también son los que tienen los recursos para ejecutar con éxito ataques en entornos ICS, ya que a menudo necesitan más sofisticación y planificación que un ataque de ransomware que se puede ejecutar utilizando componentes y servicios "listos para usar".


Comprender las metodologías de ataque


La mejor manera de comprender el malware detrás de estos ataques y ayudar a las organizaciones de infraestructura crítica a prevenirlos es mapeando todos los comportamientos utilizando MITRE ATT&CK y YARA Framework:


MITRE ATT&CK para ICS :similar al marco ampliamente adoptado MITRE ATT&CK para TI, este marco modela el comportamiento de los ataques que utilizan malware dirigido a los sistemas de control industrial. Al incorporar el mapeo de comportamiento en el marco MITRE ATT&CK ICS, herramientas como OPSWAT Sandbox pueden ayudar a los defensores a identificar rápidamente cómo el malware está tratando de atacar sus sistemas y responder de manera más efectiva.


Como ejemplo de esto, observamos BlackEnergy en la zona de pruebas y vimos el mapeo de comportamientos específicos de ICS en el marco:


OPSWAT ICS Matrix (Clique para Ampliar)
OPSWAT ICS Matrix ( (Haga clic para ampliar)

YARA para detección y protección contra amenazas : al incorporar conjuntos de reglas y herramientas de análisis de Yara ICS, como OPSWAT Sandbox, puede identificar de manera más eficiente el malware (estático y dinámico) que coincide con los atributos maliciosos conocidos para ICS. Si bien los piratas informáticos a menudo modifican los archivos de malware para evitar la detección, los atacantes deben aprovechar las herramientas, tácticas y procedimientos (TTP) existentes para ser efectivos. La infraestructura del atacante es costosa y tiene que reutilizarla, por lo que las herramientas, tácticas y procedimientos (TTP) se repiten en diferentes variantes de malware, lo que permite la identificación de familias de malware y ayuda con la atribución.


OPSWAT Sandbox (Clique para Ampliar)
OPSWAT Sandbox (Haga clic para ampliar)

El último MITRE ATT&CK para ICS ofrece el marco TTP específico para ataques dirigidos a tecnologías operativas (OT), como funciones de inhibición de respuesta.


La detección de malware particularmente evasivo en infraestructuras críticas requiere capacidades de análisis que deben incluir un análisis estático y dinámico integral, con la capacidad de marcar TTP específicos para ataques de ICS, como se muestra en el análisis de malware de BlackEnergy a continuación:


Melhor detecção de ameaças de malware com sandbox
Detección de amenazas de malware mejorada con OPSWAT Sandbox (haga clic para ampliar)

El lanzamiento reciente de OPSWAT Sandbox v1.1.7 incluye IOC Mapping to ICS TTPs, y con las reglas YARA disponibles y un repositorio MISP nativo de OPSWAT MetaDefender Core, las organizaciones pueden protegerse mejor contra amenazas de malware a través de una solución integral de inteligencia de amenazas.


Fuente: OPSWAT

 

Cuente con internacional IT y OPSWAT para ayudarlo a proteger sus entornos complejos. ¡Solicite una demostración!

Entradas Recientes

Ver todo

Comentarios


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page