ENISA Threat Landscape Report 2018. Algunas notas sobre sistemas SCADA/ICS e infraestructuras críticas.

Ayer lunes, 28 de enero de 2018, ENISA publicó su informe anual sobre amenazas: el ENISA Threat Landscape Report 2018 – 15 Top Cyberthreats and Trends, que podéis descargaros en este enlace.

Como es habitual el informe incorpora información y datos de obligada lectura para todos aquellos que quieran estar al corriente de las amenazas presentes y futuras que afectan diría, a cualquier tipo de organización.

En la siguiente figura, podéis ver cuáles son las principales amenazas que han surgido durante el 2018 y su posición con respecto a las detectadas durante el 2017.

Adicionalmente, en esta entrada, nos gustaría señalar algunos de los datos más importantes que recoge el informe relacionado con los sistemas SCADA/ICS y con las infraestructuras críticas.

El Malware en entornos SCADA/ICS

En el punto 3.1 del informe, se pone de manifiesto como durante el año pasado el malware Triton, fue el primero que afectó a los SIS (Safety Instrumented Systems), es decir los sistemas que permiten ejecutar unas “funciones específicas de control”, cuando el proceso ha entrado en condiciones que pueden afectar gravemente a la seguridad de los trabajadores o causar graves incidentes medioambientales.

Además, el informe señala que, en los próximos años, los entornos de operación y en general las infraestructuras críticas, serán un objetivo prioritario para los grupos de APTs.

Del mismo modo, dentro de este apartado de malware, aparece por primera vez, como amenaza la existencia de un tipo de malware específico, el Cryptojacking. Es decir, se trata de un malware que infecta a sistemas y dispositivos OT, permitiendo al usuario malicioso minar criptomoneda. En los entornos OT, este tipo de malware, puede generar una importante degradación en el rendimiento del sistema.

En el informe, se hace mención del incidente sufrido por infraestructura crítica del sector aguas, en febrero de 2018, utilizando dicho malware. Como se puede observar en la siguiente figura del informe, el ataque a infraestructuras críticas, a través de “Cryptomining malware” está incrementando fuertemente en los últimos meses.

Vectores de ataque en entornos SCADA/ICS

En el apartado 5 del informe, “Attack Vectors”, se hace mención de los denominados “Multi-staged and Modular Threats”, es decir aquellos ataques que son realizados por grupos que utilizan malware muy sofisticados, versátiles y persistentes. Algunos de los ejemplos que se indican son VPNFilter, BlackEnergy o CobInt y estas son sus características: auto propagación, auto destrucción, comunicaciones ocultas con los C2, comportamientos persistentes, ofuscación en el origen, etc.

En el informe se hace un pequeño recorrido por las características del primero VPNFilter, un malware que afectó a más de 500.000 dispositivos de electrónica de red. En la siguiente figura se muestran los estadios seguidos por este malware para perpetrar sus acciones maliciosas.

Dentro de las acciones específicas de este malware, destaca que se encontraron dos “pluging modules”:

• Uno consistente en un “sniffer” que recogía tráfico y datos (passwords) de las redes infectadas, así como tráfico asociado al protocolo Modbus.
• Otro consistente en facilitar la comunicación a través de TOR.

Ciberespionaje en infraestructuras críticas

Durante todo el informe se hace hincapié en poner en alerta como las organizaciones pertenecientes a sectores críticos, son y van a ser objetivo preferente de acciones maliciosas. Cabe destacar que se pone de manifiesto, la importancia de vigilar los denominados “Supply Change attacks”, ya que están siendo una amenaza creciente.

Por otro lado, es significativo el siguiente dato. El uso de RATs para exfiltrar información sensible de redes y entornos OT se ha incrementado fuertemente durante el 2018. Se muestra un gráfico en el que se revelan los países en los que más se ha utilizado este medio. España también aparece.

Algunas conclusiones

• Los atacantes cambian diariamente sus técnicas, tácticas y procedimientos, mejorándolas y sofisticándolas.
• La gestión del riesgo, práctica habitual en las organizaciones, debe incluir la gestión del riesgo vinculado a la ciberseguridad y a los sistemas de información.
• Los usuarios finales están cada día más expuestos a una cantidad ingente de amenazas.
• Es muy recomendable incrementar las acciones de formación y concienciación a diferentes niveles.
• Las diferencias entre los marcos normativos y legales, son una barrera para recoger información sobre amenazas.

Desde la unidad de ciberseguridad industrial de Logitek tenemos y queremos estar al día de las amenazas presentes y futuras, con el objetivo de cumplir nuestra misión: ayudar a nuestros clientes a mejorar los niveles de seguridad de sus procesos, sistemas e infraestructuras asociados a entornos OT e infraestructuras críticas.

Llámanos si quieres hablar con nosotros.