Cómo las herramientas de administración en remoto traen amenazas inesperadas a las redes industriales

Cómo las herramientas de administración en remoto traen amenazas inesperadas a las redes industriales

Las herramientas legítimas de administración en remoto, RAT, representan una seria amenaza para las redes industriales. Instaladas en el 31,6% de los equipos de sistemas de control industrial (ICS), a menudo pasan desapercibidas hasta que el equipo de seguridad descubre que los cibercriminales han usado las RAT para instalar software de minería de ransomware o de criptomoneda, o para robar información confidencial o incluso dinero.

Esta situación la detectaron los analistas de seguridad de Kaspersky Lab, que realizaron una investigación concreta sobre este problema.

Las RAT son herramientas de software legíimas que permiten a terceros acceder de forma remota a un equipo. A menudo son utilizadas por los empleados de las empresas industriales para ahorrar recursos, pero también pueden ser utilizadas por actores maliciosos para obtener acceso privilegiado a ciertos equipos de forma sigilosa.

Según un informe publicado por Kaspersky Lab ICS CERT, las RATs están muy presentes en todas las industrias. De hecho,  casi un tercio de los equipos protegidos por los productos de Kaspersky Lab tienen instaladas RATs. Y, aún más importante, en uno de cada cinco casos, las RATs se incluyen por defecto en el software ICS. Esto las hace menos visibles para los administradores de sistemas y, en consecuencia, más atractivas para los actores de amenazas.

Según el estudio, los usuarios maliciosos utilizan las RATs para:

•    Obtener acceso no autorizado a la red objetivo;

•    Infectar la red con malware para llevar a cabo acciones de espionaje, sabotaje y hacerse ilegalmente con ganancias realizando operaciones de ransomware o accediendo a activos financieros a través de las redes atacadas.

La amenaza más importante planteada por las RATs es su capacidad de obtener privilegios en el sistema atacado. En la práctica, significa obtener control ilimitado sobre una empresa industrial, lo que puede ocasionar importantes pérdidas financieras, así como desastres físicos. Estas capacidades se suelen conseguir a través de ataques de fuerza bruta básicas, que consisten en tratar de adivinar una contraseña probando todas las posibles combinaciones de caracteres hasta encontrar la correcta. Si bien la fuerza bruta es una de las formas más populares de tomar el control de unas RATs, los atacantes también pueden encontrar y explotar vulnerabilidades en el software de las RATs.

El número de ICS con RAT es bastante preocupante, y muchas organizaciones ni siquieran sospechan lo grande que es el riesgo potencial asociado a las RATs. Por ejemplo, recientemente se han observado ataques a una compañía automovilística, donde uno de los ordenadores tenía instaladas RATs. Esto llevó durante varios meses a intentos frecuentes de instalar malware, con nuestras soluciones de seguridad bloqueando al menos dos de esos ataques cada semana. Si esa compañía no hubiera estado protegida por nuestro software de seguridad, las consecuencias habrían sido devastadoras. Sin embargo, esto no quiere decir que las empresas deben eliminar inmediatamente todo el software RAT de sus redes. Después de todo, estas aplicaciones son muy útiles, ahorran tiempo y dinero. Sin embargo, su presencia en una red debe ser tratada con cuidado, sobre todo en redes ICS, que a menudo son parte de instalaciones de infraestructuras críticas”, dijo Kirill Kruglov, analista senior de segurudad de Kaspersky Lab ICS CERT.

Para reducir el riesgo de ciberataques usando RAT, Kaspersky Lab ICS CERT recomienda implementar las siguientes medidas técnicas:

•    Auditar el uso de las herramientas de administración remota de aplicaciones y sistemas utilizados en la red industrial. Eliminar todas las herramientas de administración remota que no sean requeridas por el proceso industrial.

•    Realizar una auditoría y desactivar las herramientas de administración remota que vienen con el software ICS (consulte la documentación del software correspondiente para obtener instrucciones detalladas), siempre que el proceso industrial no lo necesita.

•    Monitorizar de cerca y registrar eventos para cada sesión de control remoto demandada por el proceso industrial; el acceso remoto debe estar deshabilitado de manera predeterminada y habilitado solo bajo petición y solo por periodos de tiempo limitados.

Kaspersky Lab

Artículos

Más Recientes