Los ciberdelincuentes venden acceso a plantas de tratamiento de agua


Los expertos esperan que “veremos más noticias sobre escenarios de ataques y cómo se pueden monetizar esos ataques” debido a las vulnerabilidades de seguridad en curso.

Los ciberdelincuentes en foros clandestinos han ofrecido vender acceso a sistemas pirateados que controlan plantas de energía y sistemas de tratamiento de agua de EE. UU., Según un nuevo informe de la firma de inteligencia de amenazas Intel 471. Los piratas informáticos probablemente se aprovecharon de las vulnerabilidades de seguridad comunes en estos sistemas, dicen los expertos: y temen que tales ataques puedan volverse más comunes a medida que los malos actores encuentren formas de monetizar los hacks.

Los sistemas a los que los ciberdelincuentes ofrecían acceso tenían un parecido sorprendente con la planta de tratamiento de agua de Oldsmar, Florida, que fue comprometida por un pirata informático la semana pasada. Los funcionarios encargados de hacer cumplir la ley dijeron que un intruso desconocido obtuvo acceso al software utilizado por los gerentes de la planta para controlar de forma remota sus sistemas e intentó elevar la cantidad de hidróxido de sodio, también conocido como lejía, en el agua potable a niveles peligrosos.

Los investigadores de Intel 471 tuvieron cuidado de señalar que no tienen pruebas contundentes que demuestren que los ciberdelincuentes que ofrecen acceso a sistemas industriales pirateados son los mismos que piratearon la planta de Oldsmar. Pero sus hallazgos ilustran vulnerabilidades cibernéticas más amplias en los sistemas estadounidenses que controlan la infraestructura. Durante años, los expertos han hecho sonar las alarmas sobre posibles problemas con estos llamados sistemas de control de supervisión y adquisición de datos (o sistemas SCADA), que monitorean y controlan las máquinas en el campo.

“Los ataques a los sistemas SCADA no son nuevos”, dijo un portavoz de Intel 471 en respuesta a las preguntas enviadas por correo electrónico desde Insider después del informe. “A menudo es fácil para los actores de amenazas no sofisticados identificar los sistemas SCADA orientados a Internet y obtener acceso con muy poco esfuerzo”.

En una instancia registrada por Intel 471, un ciberdelincuente en un canal de Telegram popular entre los piratas informáticos ofreció en mayo de 2020 vender acceso a un “Sistema de tratamiento y recuperación de aguas subterráneas” ubicado en Florida. El pirata informático afirmó haber ingresado al software utilizado por los administradores para controlar de forma remota el sistema e incluyó una captura de pantalla que mostraba los niveles de hidróxido de sodio en el agua.

La persona que publicó las capturas de pantalla en el canal de Telegram probablemente era un actor iraní, dijeron los investigadores de Intel 471. El canal de Telegram en cuestión también estaba vinculado a un pirateo de 2020 de un depósito de agua israelí. No hay evidencia que sugiera que esta persona estuviera motivada por algo más que una ganancia monetaria y notoriedad, dijo el vocero.

Los hallazgos de los investigadores ilustran debilidades más amplias en las ciberdefensas de la infraestructura crítica de EE. UU. Muchos sistemas de control industrial se pueden ubicar fácilmente utilizando directorios en línea como Shodan, que registra los dispositivos conectados a Internet. A partir de ahí, los expertos dicen que incluso los piratas informáticos de bajo nivel pueden rastrear las credenciales de inicio de sesión predeterminadas o robadas para intentar ingresar al software que controla los sistemas.

“Los sistemas SCADA son conocidos por usar credenciales de administrador predeterminadas débiles, puertos no estándar y otros identificadores técnicos”, dijo el portavoz a Insider.

Demasiada infraestructura crítica está conectada a la Internet pública con protecciones de seguridad laxas, en parte debido a los presupuestos de ciberseguridad atrozmente bajos.

Los sistemas industriales son un objetivo cada vez mayor para los piratas informáticos con fines de lucro en todos los ámbitos. El año pasado, los investigadores han rastreado a los ciberdelincuentes que sondean las computadoras conectadas a la infraestructura crítica y revenden el acceso a esas computadoras a grupos de piratería más sofisticados, según la firma de seguridad Kaspersky.

“Creemos que los actores malintencionados han tenido, durante bastante tiempo, acceso no solo a organizaciones industriales sino también a mucha información sobre sus procesos tecnológicos”, dijo Evgeny Goncharov, jefe del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial de Kaspersky, en un seminario web el jueves. . “Probablemente en un futuro próximo veremos más noticias sobre escenarios de ataques y cómo se pueden monetizar esos ataques”.

El FBI publicó un aviso conjunto con la Agencia de Seguridad de Infraestructura y Ciberseguridad el jueves aconsejando a las agencias de infraestructura crítica que instalen la última versión de Windows e instándolas a estar atentas a inicios de sesión sospechosos en su software de acceso remoto.

.



Source link