Cómo las herramientas de administración en remoto traen amenazas inesperadas a las redes industriales

4 diciembre, 2018
25 Compartido 990 Visualizaciones

Las herramientas legítimas de administración en remoto (RAT) representan una seria amenaza para las redes industriales.

Instaladas en el 31,6% de los equipos de sistemas de control industrial (ICS), a menudo pasan desapercibidas hasta que el equipo de seguridad descubre que los cibercriminales han usado las RAT para instalar software de minería de ransomware o de criptomoneda, o para robar información confidencial o incluso dinero. Esta situación la detectaron los analistas de seguridad de Kaspersky Lab, que realizaron una investigación concreta sobre este problema.

Las RAT son herramientas de software legíimas que permiten a terceros acceder de forma remota a un equipo. A menudo son utilizadas por los empleados de las empresas industriales para ahorrar recursos, pero también pueden ser utilizadas por actores maliciosos para obtener acceso privilegiado a ciertos equipos de forma sigilosa.

Según un informe publicado por Kaspersky Lab ICS CERT, las RATs están muy presentes en todas las industrias. De hecho,  casi un tercio de los equipos protegidos por los productos de Kaspersky Lab tienen instaladas RATs. Y, aún más importante, en uno de cada cinco casos, las RATs se incluyen por defecto en el software ICS. Esto las hace menos visibles para los administradores de sistemas y, en consecuencia, más atractivas para los actores de amenazas.

Según el estudio, los usuarios maliciosos utilizan las RATs para:

  • Obtener acceso no autorizado a la red objetivo;
  • Infectar la red con malware para llevar a cabo acciones de espionaje, sabotaje y hacerse ilegalmente con ganancias realizando operaciones de ransomware o accediendo a activos financieros a través de las redes atacadas

La amenaza más importante planteada por las RATs es su capacidad de obtener privilegios en el sistema atacado. En la práctica, significa obtener control ilimitado sobre una empresa industrial, lo que puede ocasionar importantes pérdidas financieras, así como desastres físicos. Estas capacidades se suelen conseguir a través de ataques de fuerza bruta básicas, que consisten en tratar de adivinar una contraseña probando todas las posibles combinaciones de caracteres hasta encontrar la correcta. Si bien la fuerza bruta es una de las formas más populares de tomar el control de unas RATs, los atacantes también pueden encontrar y explotar vulnerabilidades en el software de las RATs.

“El número de ICS con RAT es bastante preocupante, y muchas organizaciones ni siquieran sospechan lo grande que es el riesgo potencial asociado a las RATs. Por ejemplo, recientemente se han observado ataques a una compañía automovilística, donde uno de los ordenadores tenía instaladas RATs. Esto llevó durante varios meses a intentos frecuentes de instalar malware, con nuestras soluciones de seguridad bloqueando al menos dos de esos ataques cada semana. Si esa compañía no hubiera estado protegida por nuestro software de seguridad, las consecuencias habrían sido devastadoras. Sin embargo, esto no quiere decir que las empresas deben eliminar inmediatamente todo el software RAT de sus redes. Después de todo, estas aplicaciones son muy útiles, ahorran tiempo y dinero. Sin embargo, su presencia en una red debe ser tratada con cuidado, sobre todo en redes ICS, que a menudo son parte de instalaciones de infraestructuras críticas”, dijo Kirill Kruglov, analista senior de segurudad de Kaspersky Lab ICS CERT.

Para reducir el riesgo de ciberataques usando RAT, Kaspersky Lab ICS CERT recomienda implementar las siguientes medidas técnicas:

  • Auditar el uso de las herramientas de administración remota de aplicaciones y sistemas utilizados en la red industrial. Eliminar todas las herramientas de administración remota que no sean requeridas por el proceso industrial.
  • Realizar una auditoría y desactivar las herramientas de administración remota que vienen con el software ICS (consulte la documentación del software correspondiente para obtener instrucciones detalladas), siempre que el proceso industrial no lo necesita.
  • Monitorizar de cerca y registrar eventos para cada sesión de control remoto demandada por el proceso industrial; el acceso remoto debe estar deshabilitado de manera predeterminada y habilitado solo bajo petición y solo por periodos de tiempo limitados.

Te podría interesar

S2 Grupo, premiada como caso de buena práctica universidad-empresa en los Premios REDFUE 2018
Cases Studies
16 compartido2,236 visualizaciones
Cases Studies
16 compartido2,236 visualizaciones

S2 Grupo, premiada como caso de buena práctica universidad-empresa en los Premios REDFUE 2018

Mónica Gallego - 26 noviembre, 2018

S2 Grupo mantiene una estrecha colaboración con la Universitat de València a través de su programa de prácticas en empresa…

¿Está su pequeña empresa lista para defenderse contra una violación de datos?
Actualidad
12 compartido1,062 visualizaciones
Actualidad
12 compartido1,062 visualizaciones

¿Está su pequeña empresa lista para defenderse contra una violación de datos?

Vicente Ramírez - 26 julio, 2018

El costo total promedio de una violación de datos en los EE. UU. ha aumentado de $ 7.01 millones a…

Incibe ampliará la plantilla en más del 70% en los próximos tres años
Actualidad
33 compartido1,911 visualizaciones
Actualidad
33 compartido1,911 visualizaciones

Incibe ampliará la plantilla en más del 70% en los próximos tres años

José Luis - 27 julio, 2018

El secretario de Estado para la Sociedad de la Información y la Agenda Digital, D. Francisco Polo, ha visitado hoy…

Deje un comentario

Su email no será publicado