Cómo las herramientas de administración en remoto traen amenazas inesperadas a las redes industriales

4 diciembre, 2018
25 Compartido 1,047 Visualizaciones

Las herramientas legítimas de administración en remoto (RAT) representan una seria amenaza para las redes industriales.

Instaladas en el 31,6% de los equipos de sistemas de control industrial (ICS), a menudo pasan desapercibidas hasta que el equipo de seguridad descubre que los cibercriminales han usado las RAT para instalar software de minería de ransomware o de criptomoneda, o para robar información confidencial o incluso dinero. Esta situación la detectaron los analistas de seguridad de Kaspersky Lab, que realizaron una investigación concreta sobre este problema.

Las RAT son herramientas de software legíimas que permiten a terceros acceder de forma remota a un equipo. A menudo son utilizadas por los empleados de las empresas industriales para ahorrar recursos, pero también pueden ser utilizadas por actores maliciosos para obtener acceso privilegiado a ciertos equipos de forma sigilosa.

Según un informe publicado por Kaspersky Lab ICS CERT, las RATs están muy presentes en todas las industrias. De hecho,  casi un tercio de los equipos protegidos por los productos de Kaspersky Lab tienen instaladas RATs. Y, aún más importante, en uno de cada cinco casos, las RATs se incluyen por defecto en el software ICS. Esto las hace menos visibles para los administradores de sistemas y, en consecuencia, más atractivas para los actores de amenazas.

Según el estudio, los usuarios maliciosos utilizan las RATs para:

  • Obtener acceso no autorizado a la red objetivo;
  • Infectar la red con malware para llevar a cabo acciones de espionaje, sabotaje y hacerse ilegalmente con ganancias realizando operaciones de ransomware o accediendo a activos financieros a través de las redes atacadas

La amenaza más importante planteada por las RATs es su capacidad de obtener privilegios en el sistema atacado. En la práctica, significa obtener control ilimitado sobre una empresa industrial, lo que puede ocasionar importantes pérdidas financieras, así como desastres físicos. Estas capacidades se suelen conseguir a través de ataques de fuerza bruta básicas, que consisten en tratar de adivinar una contraseña probando todas las posibles combinaciones de caracteres hasta encontrar la correcta. Si bien la fuerza bruta es una de las formas más populares de tomar el control de unas RATs, los atacantes también pueden encontrar y explotar vulnerabilidades en el software de las RATs.

“El número de ICS con RAT es bastante preocupante, y muchas organizaciones ni siquieran sospechan lo grande que es el riesgo potencial asociado a las RATs. Por ejemplo, recientemente se han observado ataques a una compañía automovilística, donde uno de los ordenadores tenía instaladas RATs. Esto llevó durante varios meses a intentos frecuentes de instalar malware, con nuestras soluciones de seguridad bloqueando al menos dos de esos ataques cada semana. Si esa compañía no hubiera estado protegida por nuestro software de seguridad, las consecuencias habrían sido devastadoras. Sin embargo, esto no quiere decir que las empresas deben eliminar inmediatamente todo el software RAT de sus redes. Después de todo, estas aplicaciones son muy útiles, ahorran tiempo y dinero. Sin embargo, su presencia en una red debe ser tratada con cuidado, sobre todo en redes ICS, que a menudo son parte de instalaciones de infraestructuras críticas”, dijo Kirill Kruglov, analista senior de segurudad de Kaspersky Lab ICS CERT.

Para reducir el riesgo de ciberataques usando RAT, Kaspersky Lab ICS CERT recomienda implementar las siguientes medidas técnicas:

  • Auditar el uso de las herramientas de administración remota de aplicaciones y sistemas utilizados en la red industrial. Eliminar todas las herramientas de administración remota que no sean requeridas por el proceso industrial.
  • Realizar una auditoría y desactivar las herramientas de administración remota que vienen con el software ICS (consulte la documentación del software correspondiente para obtener instrucciones detalladas), siempre que el proceso industrial no lo necesita.
  • Monitorizar de cerca y registrar eventos para cada sesión de control remoto demandada por el proceso industrial; el acceso remoto debe estar deshabilitado de manera predeterminada y habilitado solo bajo petición y solo por periodos de tiempo limitados.

Te podría interesar

Nace Working Hackers: Punto de encuentro de los expertos españoles en ciberseguridad
Actualidad
35 compartido1,846 visualizaciones
Actualidad
35 compartido1,846 visualizaciones

Nace Working Hackers: Punto de encuentro de los expertos españoles en ciberseguridad

Vicente Ramírez - 23 octubre, 2018

La plataforma, creada por profesionales de la industria, se concibe como un hub de inteligencia y experiencia con el objetivo…

Altavoces inteligentes, a prueba de ataques
Soluciones Seguridad
20 compartido1,354 visualizaciones
Soluciones Seguridad
20 compartido1,354 visualizaciones

Altavoces inteligentes, a prueba de ataques

Vicente Ramírez - 27 diciembre, 2018

McAfee ofrece una serie de recomendaciones para que tu altavoz inteligente no se convierta en la puerta de entrada de…

¿Cómo impedir que el aspirador Roomba comparta el mapa de tu casa?
Soluciones Seguridad
328 visualizaciones
Soluciones Seguridad
328 visualizaciones

¿Cómo impedir que el aspirador Roomba comparta el mapa de tu casa?

Redacción - 31 julio, 2017

Tras el reciente revuelo originado por la entrevista de un ejecutivo de Roomba en la que indicaba que los mapas…

Deje un comentario

Su email no será publicado