Objetivos principales: El impacto del ransomware en la industria

El ransomware sigue dominando como uno de los retos de seguridad más acuciantes para las organizaciones de todo el mundo. En la primera entrega de nuestra serie de blogs sobre ransomware, nos adentramos en las conclusiones del informe sobre ransomware patrocinado por CISA del Instituto Cyentia, que reveló que los activos expuestos y de cara al público son los principales vectores de acceso inicial para los grupos de ransomware.

En la siguiente entrega de nuestra serie, analizaremos las ideas clave del Informe semestral sobre ransomware H1 2024 de la Global Resilience Federation (GRF) y sus implicaciones para la industria manufacturera, así como lo que pueden hacer los equipos de seguridad de la industria manufacturera para tomar medidas.

¿Qué investigó el FGR? 

El informe sobre ransomware de GRF recopiló datos tanto de fuentes públicas como de foros cerrados de actores de amenazas para compilar datos sobre 1.690 ataques de ransomware en la primera mitad de 2024. Su informe semestral se propone medir el impacto de los ataques de ransomware e identificar las tendencias que configuran el panorama de la seguridad.

Entre los aspectos más destacados del informe correspondiente al primer semestre de 2024 figuran los siguientes:

• La principal amenaza de ransomware fue LockBit, con 340 ataques exitosos.
• Estados Unidos fue el objetivo del 64% de todos los ataques de ransomware.
• La reextorsión ha surgido como una complicación tanto para las víctimas como para el propio modelo de negocio del ransomware como servicio.
• El sector manufacturero fue el más afectado por los ataques de ransomware, con 281 víctimas.

Dado que la industria manufacturera es uno de los principales objetivos, vamos a analizar más detenidamente los resultados clave de este sector en particular. (Nota: los informes de GRF también cubren el impacto del ransomware en otros sectores, como la educación, la energía y los servicios profesionales).

El impacto del ransomware en la industria en el primer semestre de 2024 

1. La amenaza para el ecosistema manufacturero mundial sigue siendo alta 

El análisis de GRF revela que, en la primera mitad de 2024, las empresas de fabricación crítica experimentaron la mayor cantidad de ataques de ransomware de cualquier industria, con 281 ataques exitosos a nivel mundial. El sector ha mantenido su primer puesto desde 2023; la fabricación crítica también fue la industria más atacada en el informe sobre ransomware de GRF del segundo semestre de 2023.

GRF sugiere que la industria manufacturera ha sido una industria atractiva para los grupos de ransomware porque el sector depende en gran medida de las operaciones físicas para generar beneficios. En lugar de limitarse a cifrar datos, los ciberdelincuentes pueden lanzar ataques de denegación de servicio contra sistemas OT, ICS y otros sistemas conectados a Internet de los que dependen los fabricantes para su producción. Estos ataques pueden paralizar las operaciones, con el potencial de provocar efectos dominó a largo plazo en toda la cadena de suministro.

Por lo tanto, la oportunidad de interrupción en la industria manufacturera es alta, al igual que la expectativa de los actores de amenazas de que las empresas manufactureras paguen rescates para reanudar sus operaciones. En 2023, el 62% de las víctimas del sector manufacturero pagaron rescates, casi el doble que en 2022 (34%), según un informe de Sophos.

Abundan los ejemplos de ataques recientes de ransomware en el sector manufacturero. En 2023, un ataque de ransomware contra el fabricante de bienes de consumo Clorox provocó una prolongada escasez de productos y 356 millones de dólares en daños totales. Los ataques de ransomware al fabricante de ordenadores portátiles Clevos y al fabricante de equipos de telecomunicaciones Allied Telesis son algunos de los muchos que se han producido en la industria en la primera mitad de 2024, según un informe de Dragos.

2. El cambio hacia los pequeños fabricantes: Una preocupación creciente

Los grupos de ransomware también se dirigen a nuevos grupos demográficos dentro del sector manufacturero. GRF afirma que, mientras que los ataques de ransomware se han lanzado históricamente contra empresas manufactureras de tamaño medio, en el primer semestre de 2024 los pequeños fabricantes emergieron con una ligera ventaja para convertirse en el grupo más atacado dentro de la industria. Como afirma GRF, "la razón de este cambio puede no ser incentivos financieros, sino más bien que los fabricantes de tamaño medio están endureciendo cada vez más sus sistemas, forzando un cambio a objetivos más fáciles."

En cierto sentido, este hallazgo es alentador, ya que sugiere que más empresas manufactureras con los medios para fortalecer sus defensas de ciberseguridad lo están haciendo. En otro sentido, el hallazgo subraya la realidad de que ninguna empresa es demasiado pequeña para evitar la atención de los grupos de ransomware, y que estos actores de amenazas aceptarán los pagos de rescates donde puedan conseguirlos.

3. Reforzar las defensas: Un panorama heterogéneo

El informe de GRF ofrece un rayo de esperanza: parece que el sector manufacturero es cada vez más consciente de la necesidad de adoptar medidas de ciberseguridad sólidas. Según el informe de GRF, el número de ataques exitosos de ransomware contra fabricantes disminuyó un 20% en el primer semestre de 2024 en comparación con el segundo semestre de 2023. Sin embargo, es demasiado pronto para decir si se trata de una tendencia sostenida.

A pesar de estos avances, los fabricantes siguen siendo uno de los principales objetivos. Entender cómo operan los grupos de ransomware es fundamental para ir por delante. El reciente informe sobre ransomware del Cyentia Institute reveló que los activos públicos explotados son los principales puntos de acceso para los ataques de ransomware. Las amenazas consideran que estas vulnerabilidades sin parches son un botín fácil, y a menudo las explotan antes de que los equipos de seguridad puedan aplicar los parches.

Cómo Censys ayuda a los equipos de seguridad a mantenerse a la vanguardia

Para minimizar el riesgo de éxito de los ataques de ransomware y tomar medidas inmediatas contra las exposiciones que los malos actores explotarán, los equipos de seguridad de fabricación necesitan una visibilidad continua de todos sus sistemas y dispositivos que están conectados a Internet de cara al público.

Los equipos de seguridad de fabricación pueden obtener esta visibilidad completa con Censys.

Los clientes de Censys Search y Censys ASM pueden ejecutar las siguientes consultas de casos de uso de fabricación con nuestro conjunto líder de inteligencia de Internet para identificar, supervisar y proteger sus activos orientados a Internet.

Consultas para casos de uso en la fabricación 

Protocolos pertinentes: 

Protocolos de automatización de edificios

BACnet

• Consulta de búsqueda: services.service_name:BACNET
• Consulta ASM: host.services.service_name:BACNET

LonWorks

• Consulta de búsqueda: services.software: (vendor="Echelon" and product: "i.LON")
• Consulta ASM: host.services.software: (vendor="Echelon" and product: "i.LON")

Comunicación PLC (controlador lógico programable)

Unitronics PCOM

• Consulta de búsqueda: services.service_name:PCOM
• Consulta ASM: host.services.service_name:PCOM

CODESYS

• Consulta de búsqueda: services.service_name:CODESYS
• Consulta ASM: host.services.service_name:CODESYS

Siemens S7

• Consulta de búsqueda: services.service_name:S7 or services.software.product:`SIMATIC S7`
• Consulta ASM: host.services.service_name:S7 or host.services.software.product:`SIMATIC S7`

Redes industriales e IIoT

EtherNet/IP

• Consulta de búsqueda: services.service_name:EIP
• Consulta ASM: host.services.service_name:EIP

OPC UA

• Consulta de búsqueda: services.service_name:OPC_UA
• Consulta ASM: host.services.service_name:OPC_UA

HMI/SCADA

León Rojo Carmesí

• Consulta de búsqueda: services.service_name:REDLION_CRIMSON or services.software:(vendor="Red Lion" and product="Crimson")
• Consulta ASM: host.services.service_name:REDLION_CRIMSON or host.services.software:(vendor="Red Lion" and product="Crimson")

IEC 61850

• Consulta de búsqueda: services.service_name=IEC60870_5_104
• Consulta ASM: host.services.service_name=IEC60870_5_104

Consultas de proveedores:

Automatización Allen-Bradley/Rockwell

• Search Query: services: (parsed.eip.identity.vendor_name=”Rockwell Automation/Allen-Bradley” or software.vendor: “Rockwell Automation”) and not labels: {tarpit, honeypot}
• ASM Query: host.services: (parsed.eip.identity.vendor_name=”Rockwell Automation/Allen-Bradley” or software.vendor: “Rockwell Automation”) and not host.labels: {tarpit, honeypot}

Beckhoff

• Consulta de búsqueda: services.tls.certificates.leaf_data.subject_dn="C=DE, ST=Nordrhein-Westfalen, L=Verl, O=Beckhoff Automation GmbH & Co. KG, CN=\*.beckhoff.com"
• Consulta ASM: host.services.tls.certificates.leaf_data.subject_dn="C=DE, ST=Nordrhein-Westfalen, L=Verl, O=Beckhoff Automation GmbH & Co. KG, CN=\*.beckhoff.com"

Siemens

• Search Query: services.software.vendor: “Siemens” and not labels: {tarpit, honeypot}
• ASM Query: host.services.software.vendor: “Siemens” and not host.labels: {tarpit, honeypot}

Para ver un ejemplo de Censys en acción, consulte nuestro tutorial sobre cómo descubrir y proteger dispositivos OT mediante una simple cadena de consultas.

 

El equipo de investigación de Censys también ha aprovechado el conjunto de datos patentado de Censys Search y Censys ASM para identificar riesgos en los sistemas de control industrial (ICS) conectados a Internet, en muchos de los cuales confían los fabricantes.

En su informe de investigación más reciente, el equipo encontró 18.000 dispositivos expuestos en Estados Unidos que probablemente controlan sistemas industriales. Estos resultados subrayan aún más la importante oportunidad que tienen los fabricantes de gestionar mejor las exposiciones y minimizar el riesgo de ataques. Puede leer el informe aquí.

Conclusiones: Reducir el riesgo con Censys 

Empresas manufactureras de todos los tamaños confían en Censys como línea crítica de defensa contra el ransomware y otros ataques.

Con Censys Gestión de la superficie de ataque (ASM)los equipos de seguridad de los fabricantes obtienen una visión completa, precisa y actualizada de toda su superficie de ataque, incluida la visibilidad de los activos conocidos y desconocidos.

Censys ASM capacita a los equipos con:

• Descubrimiento continuo de activos: Descubra automáticamente todos los activos de su superficie de ataque, incluidos los que suelen pasar desapercibidos para otras herramientas.
• Inventarios exhaustivos de activos: Mantenga un inventario detallado y en tiempo real de todos los activos, lo que ayuda a priorizar las vulnerabilidades con eficacia.
• Priorización de riesgos: Identifique y priorice las vulnerabilidades más críticas para asegurarse de que se parchean antes de que los grupos de ransomware puedan explotarlas.
• Alertas de respuesta rápida: Reciba alertas en 24-72 horas si sus activos se ven afectados por nuevos exploits de día cero. Censys es el único proveedor de ASM que ofrece un programa de Respuesta Rápida.

Los equipos de seguridad también pueden aprovechar Censys Buscar en para buscar directamente protocolos y servicios expuestos. Al igual que Censys ASM, Censys Search aprovecha nuestra inteligencia de Internet líder para ofrecer a los usuarios una visión sin precedentes de la Internet pública. Con consultas fáciles de usar, etiquetas en lenguaje sencillo y miles de campos de búsqueda, los equipos de seguridad de fabricación pueden utilizar Censys Search para identificar y mitigar rápidamente los riesgos antes de que desemboquen en un ataque.

Puede obtener más información sobre las formas específicas en que Censys ayuda a limitar el impacto del ransomware en la industria y otras organizaciones en nuestro reciente blog. También puede ponerse en contacto con nosotros para mantener una conversación personalizada con uno de los miembros de nuestro equipo.

Leer el informe completo del FGR