Kaspersky da a conocer los detalles de ataques a empresas industrialesEscrito por Redacción TNI el 16/06/2020 a las 19:21:392332
A principios de 2020 se descubrió una serie de ataques dirigidos contra organizaciones industriales en diversas regiones. Según los últimos hallazgos del CERT de Kaspersky ICS, estos ataques iban dirigidos a sistemas de Japón, Italia, Alemania y el Reino Unido. La lista de objetivos incluía proveedores de equipos y software para empresas industriales. Las investigaciones han demostrado que los atacantes utilizaron documentos maliciosos de Microsoft Office, scripts de PowerShell y diversas técnicas para dificultar la detección y el análisis de sus programas maliciosos, incluyendo la esteganografía, una ingeniosa tecnología de ocultamiento de información.
Los ataques dirigidos a objetos industriales atraen la atención de la comunidad de ciberseguridad: son sofisticados y se centran en empresas que tienen un valor crítico. Cualquier interrupción de su actividad podría tener diversas consecuencias, desde el éxito del espionaje industrial hasta pérdidas financieras generalizadas.
Los ataques mencionados no fueron una excepción. Los correos electrónicos de phishing, utilizados como vector de ataque inicial, se adaptaron y personalizaron al lenguaje específico de cada víctima concreta. El malware utilizado en este ataque realizaba actividades destructivas sólo si el sistema operativo tenía una localización que coincidía con el lenguaje utilizado en el correo electrónico de phishing. Por ejemplo, en el caso de un ataque a una empresa de Japón, el texto del correo electrónico de phishing y el documento de Microsoft Office que contenía la macro maliciosa se escribieron en japonés. Además, para desencriptar con éxito el módulo de malware, el sistema operativo debía tener una localización en japonés.
Un análisis más detallado ha demostrado que los atacantes usaron la utilidad Mimikatz para robar los datos de autenticación de las cuentas de Windows almacenadas en un sistema comprometido. Esta información puede ser utilizada por los atacantes para acceder a otros sistemas dentro de la red de la empresa y desarrollar ataques. Una situación especialmente peligrosa se produce cuando los atacantes obtienen acceso a las cuentas con derechos de administrador del dominio. |