{"id":23871,"date":"2022-02-03T16:07:43","date_gmt":"2022-02-03T22:07:43","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23871"},"modified":"2022-02-03T16:07:43","modified_gmt":"2022-02-03T22:07:43","slug":"detectadas-nuevas-tacticas-en-los-ataques-a-equipos-industriales","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/detectadas-nuevas-tacticas-en-los-ataques-a-equipos-industriales\/23871\/","title":{"rendered":"Detectadas nuevas t\u00e1cticas en los ataques a equipos industriales"},"content":{"rendered":"

Nuestros expertos han descubierto una nueva serie de campa\u00f1as de spyware de r\u00e1pida evoluci\u00f3n que ha atacado a m\u00e1s de 2,000 empresas industriales de todo el mundo. A diferencia de otras campa\u00f1as de spyware convencionales, estos ataques se diferencian por el n\u00famero limitado de objetivos en cada uno de ellos y por la brev\u00edsima vida \u00fatil de cada muestra maliciosa. El estudio identific\u00f3 m\u00e1s de 25 mercados donde se est\u00e1n vendiendo los datos robados. Estos y otros hallazgos han sido publicados en nuestro nuevo informe ICS CERT<\/a>.<\/u><\/p>\n

Durante la primera mitad de 2021, los expertos del Kaspersky ICS CERT observaron una curiosa anomal\u00eda en las estad\u00edsticas sobre amenazas de spyware bloqueadas en computadoras industriales. Aunque el malware utilizado pertenec\u00eda a conocidas familias de spyware como Agent Tesla\/Origin Logger, HawkEye y otros<\/a>, estos ataques destacan debido al limitado n\u00famero de objetivos en cada uno (desde uno a pocas decenas), as\u00ed como la corta vida de cada muestra maliciosa.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado de las 58,586 muestras de spyware bloqueadas en computadoras ICS en el primer semestre de 2021 revel\u00f3 que alrededor del 21.2% de ellas formaban parte de esta nueva serie de ataques de alcance limitado y corta duraci\u00f3n. Su ciclo de vida se limita a unos 25 d\u00edas, lo que es mucho menos que la vida \u00fatil de una campa\u00f1a de spyware \u201ctradicional\u201d.<\/p>\n

Aunque cada una de estas muestras de spyware \u201can\u00f3malo\u201d es de corta duraci\u00f3n y no se distribuye ampliamente, supone una parte desproporcionadamente grande del total de ataques de spyware. En Asia, por ejemplo, uno de cada seis computadoras atacadas con programas esp\u00eda fue afectado por una de las muestras de programas esp\u00eda \u201can\u00f3malos\u201d (2.1% del 11.9%).<\/p>\n

\"\"Porcentaje de computadoras ICS en las que se bloque\u00f3 spyware en el primer semestre de 2021<\/p>\n

En concreto, la mayor\u00eda de estas campa\u00f1as se propagan de una empresa industrial a otra a trav\u00e9s de correos electr\u00f3nicos de phishing bien elaborados. Una vez que ha penetrado en el sistema de la v\u00edctima, el atacante utiliza el dispositivo como servidor C2 (comando y control) del siguiente ataque. Con el acceso al listado de contactos de la v\u00edctima, los delincuentes pueden utilizar el correo electr\u00f3nico corporativo para seguir propagando el software esp\u00eda.<\/p>\n

\"\"<\/p>\n

Ejemplo de correo electr\u00f3nico en el que se utiliz\u00f3 el listado de contactos de la v\u00edctima para propagar el ataque<\/p>\n

Seg\u00fan la telemetr\u00eda del CERT de Kaspersky ICS, m\u00e1s de 2,000 organizaciones industriales de todo el mundo han sido incorporadas a la infraestructura maliciosa y utilizadas por las bandas de cibercriminales para ampliar el ataque a sus organizaciones de contacto y socios comerciales. Seg\u00fan las estimaciones, el n\u00famero total de cuentas corporativas comprometidas o robadas como resultado de estos ataques supera las 7,000.<\/p>\n

Los datos sensibles obtenidos de las computadoras ICS suelen acabar en varios mercados. Nuestros expertos identificaron m\u00e1s de 25 mercados diferentes donde se vend\u00edan las credenciales robadas de estas campa\u00f1as industriales. El an\u00e1lisis de estos mercados mostr\u00f3 una gran demanda de credenciales de cuentas corporativas, especialmente de cuentas de escritorio remoto (RDP). M\u00e1s del 46% de todas las cuentas RDP vendidas en los mercados analizados pertenecen a empresas de Estados Unidos, mientras que el resto proceden de Asia, Europa y Am\u00e9rica Latina<\/strong>. Casi el 4% (unas 2,000 cuentas) de todas las cuentas RDP que se venden pertenecen a empresas industriales.<\/p>\n

\"\"Top 10 de cuentas de RDP comprometidas ofrecidas en varios mercados, por pa\u00eds<\/em><\/p>\n

Otro mercado en crecimiento es el del spyware como servicio. Desde que se han hecho p\u00fablicos los c\u00f3digos fuente de los programas esp\u00eda m\u00e1s populares, es habitual encontrarlos a la venta en las tiendas online en forma de servicio: los desarrolladores venden no s\u00f3lo el malware como producto, sino tambi\u00e9n una licencia para un constructor de malware y el acceso a la infraestructura preconfigurada para construir el malware.<\/p>\n

\u201cA lo largo de 2021, los ciberdelincuentes utilizaron programas esp\u00eda para atacar computadoras industriales. Hoy somos testigos de una nueva tendencia que evoluciona r\u00e1pidamente en el panorama de las amenazas industriales y es que, para evitar la detecci\u00f3n, los delincuentes reducen el tama\u00f1o de cada ataque y limitan el uso de cada muestra de malware oblig\u00e1ndose a sustituirla r\u00e1pidamente por otra reci\u00e9n construida. Otras t\u00e1cticas incluyen el uso de la infraestructura del correo electr\u00f3nico corporativo para propagar el malware. Esto es diferente a todo lo que hemos observado antes en materia de programas esp\u00eda y prevemos que este tipo de ataques continuar\u00e1n ganando terreno el a\u00f1o que viene<\/em>\u201c, comenta Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT<\/strong>.<\/p>\n

Para garantizar una protecci\u00f3n adecuada y completa a las empresas industriales, nuestros expertos recomiendan:<\/p>\n