Ryuk, Nefilim, Sodinokibi y LockBit, reyes del ransomware para sistemas industriales

Redacción Silicon,
Crece un 12% el riesgo de ransomware en España, según Avast

Estados Unidos, principal objetivo de los ciberdelincuentes, equipara los ataques de ransomware al terrorismo.

El ransomware no se restringe a los ataques a usuarios particulares, también tiene en su punto de mira a todo tipo de empresas para rentabilizar sus beneficios. Entre ellas, las instalaciones industriales.

Cuando el ransomware llega a sistemas de control industrial en plantas de servicios públicos, fábricas y otras instalaciones similares puede interrumpir las operaciones durante días y hacerse con datos confidenciales que luego acaban en la dark web. Y esto es un gran problema.

Los sistemas de control industrial son increíblemente difíciles de proteger, ya que dejan muchas brechas de seguridad que los actores de amenazas están explotando claramente con creciente determinación”, declara Ryan Flores, director sénior del equipo forward-looking threat research de Trend Micro, que acaba de publicar un informe en el que destaca el riesgo de los ataques de ransomware dirigidos.

“Teniendo en cuenta que el gobierno estadounidense ahora está tratando los ataques de ransomware con la misma gravedad que el terrorismo, esperamos que nuestra última investigación ayude a los propietarios de plantas industriales a priorizar y reenfocar sus esfuerzos de seguridad”, dice Flores. Estados Unidos figura como objetivo número uno de los actores de amenazas globales

Según la investigación de Trend Micro, durante 2020 la mayoría de las infecciones por ransomware a sistemas industriales estuvo protagonizada por cuatro variantes: Ryuk (20 %), Nefilim (14,6 %), Sodinokibi (13,5 %) y LockBit (10,4 %).

Variantes como las de Conficker destacan por difundirse por endpoints que ejecutan sistemas operativos a través de ataques de fuerza bruta a recursos compartidos del administrador.

También se sabe que los ciberdelincuentes infectan algunos endpoints para minar criptomonedas aprovechando sistemas operativos no actualizados que todavía son vulnerables a EternalBlue.

Y hay malware tradicional como Autorun, Gamarue y Palevo que se siguen extendiendo por redes de TI/OT con ayuda de unidades extraíbles.

Para evitar todos estos problemas, Trend Micro recomienda aplicar los parches en cuanto se anuncie su disponibilidad, usar soluciones de detección y respuesta a amenazas, restringir los recursos compartidos de red, establecer bases de comportamiento con un IDS o IPS, escanear endpoints en entornos cerrados, instalar quioscos de escaneo de malware USB y guiarse por el principio del mínimo privilegio.