Amenazas emergentes en sectores industriales, ransomware

Publicado el 06/04/2017, por INCIBE
Amenazas emergentes en sectores industriales, ransomware

2016 fue un año en el que el ransomware aumentó de forma exponencial, y las opiniones de los expertos no indican que esta tónica vaya a cambiar. El ransomware tradicionalmente ha impactado en mayor medida a entornos TI, afectando indirectamente a los entornos TO. Este hecho no implica que atacantes desarrollen malware como KillDisk, utilizado en Blackenergy, que ahora es capaz de cifrar sistemas Linux, bloqueando todos los datos almacenados en el equipo e imposibilitando la puesta en marcha del equipo infectado. Esta evolución, sumada a los casos reales detectados, está empezando a preocupar a expertos del sector industrial.

El ransomware ha sido un tema recurrente en conferencias como el S4 2017, donde se pudo asistir a dos sesiones sobre incidentes de ransomware en sistemas de control industrial o en las conferencias de RSA este mismo año, donde unos investigadores del Instituto Tecnológico de Georgia publicaron una investigación sobre LogicLocker, un ransomware capaz de afectar a ciertos PLC. Previamente a estas sesiones, en 2016, el investigador de seguridad Tim Gurganus explicó en el evento BSides Augusta como pueden afectar las amenazas del ransomware dentro del sector Salud, que ha sido uno de los sectores más castigados por este tipo de ataques. Además de estos eventos, el Cybercamp, celebrado en diciembre de 2016 y organizado por INCIBE, acogió una sesión en la que se hablaba de ransomware en sistemas de control industrial, con un ejemplo práctico  sobre un ataque a una planta con oleoductos.

Para entender perfectamente el impacto que puede tener un ransomware en sistemas de control industrial, es importante saber a qué se conoce exactamente como ransomware:

  • Un ransomware es un software malicioso cuya misión es restringir el acceso a partes del sistema o archivos alojados en éste. Este tipo de malware viene acompañado de un rescate que se pide como moneda de cambio para que la víctima pueda recuperar los datos. Organizaciones criminales, atacantes que trabajan de forma independiente, etc. pueden ser los responsables de este tipo de infecciones. Como es normal, al igual que cualquier malware desarrollado con gran complejidad, el conocer el posible origen de la infección no resulta una tarea trivial.

Todas las familias de ransomware con todas sus versiones pueden catalogarse dentro de los tres tipos de ransomware conocidos en función a su comportamiento una vez el sistema ha sido infectado: 

  • Locker Ransomware: Bloquea el dispositivo afectado impidiendo el acceso al mismo. Este tipo de bloqueo suele estar asociado con una limitación de las capacidades en el dispositivo víctima, esto significa que el ratón puede estar deshabilitado y las funcionalidades del teclado pueden reducirse a sólo escritura numérica para indicar el código de pago realizado como rescate.
  • Crypto Ransomware: El objetivo de este tipo de ransomware es impedir el acceso a datos y archivos cifrándolos. Al igual que en el caso de los locker ransomware, el crypto ransomware va acompañado de un mensaje para poder pagar a los atacantes y recuperar los datos, que pueden tener gran valor.
  • Ransomware en el MBR (Master Boot Record): Este tipo de ransomware afecta al sector de arranque de los discos duros impidiendo que éstos arranquen de forma correcta, y nuevamente solicita un rescate para devolver el control del equipo. Este tipo de ransomware no es tan común como los anteriores pero están empezando a verse cada vez más variantes de ransomware de este tipo.

Ejemplo de ransomware que afecta al MBR

- Ejemplo de ransomware que afecta al MBR -

Se sabe que el sector más castigado por este tipo de amenazas es el sector de la salud, y que gran parte de los problemas fueron ocasionados por el ransomware Locky. Este ransomware utilizaba como vector de ataque macros en documentos pertenecientes a la suite de Office y códigos JavaScript embebidos, infectando a muchos hospitales en busca de sus datos. Además, Locky ha sido el ramsomware que más infecciones ha producido en la segunda mitad de 2016  lo que le ha colocado como el 5º malware más activo, una posición nunca ocupada anteriormente por un ransomware cuya infección no suele ser tan virulenta.

 Top 7 de sectores más afectados por el  ransomware Locky

- Top 7 de sectores más afectados por el ransomware Locky Fuente: Fireeye, LOCKY RANSOMWARE DISTRIBUTED VIA DOCM ATTACHMENTS IN LATEST EMAIL CAMPAIGNS -

Casos reales

Algunos casos recientes de ransomware en sistemas de control:

  • Febrero 2016, Hollywood Presbyterian Medical Center: Los atacantes utilizaron ficheros adjuntos de WORD 2007 con macros (extensión .DOCM), que fueron habilitadas por los empleados del hospital. Para rescatar los datos se pidieron 6.000.000€, que en este caso fueron pagados por el hospital. La parada de servicio provocó trastornos en pacientes, que tuvieron que ser derivados a otros hospitales.

Lecciones aprendidas

No habilitar las macros de los documentos adjuntos si no se sabe con certeza que la procedencia de los mismos es legítima.

  • Febrero 2016, Hospitales alemanes: Varios hospitales alemanes sufrieron una infección del ransomware Locky. Al igual que en el caso anterior, esta infección ocasionó perturbaciones en la operativa habitual del hospital, obligando incluso a aplazar algunas cirugías de alto riesgo. En este caso no se pagó el rescate que pedían los atacantes y los sistemas pudieron restaurarse gracias a las copias de seguridad que se habían realizado previamente a la infección.

Lecciones aprendidas

La disposición de un programa de recuperación ante desastres que incluya copias de respaldo de los sistemas permite recuperar el funcionamiento en un breve espacio de tiempo 

  • Marzo 2016, Hospital de Ottawa: El hospital de Ottawa (Canadá) se vio afectado por una infección producida por el ransomware WinPLock, afectando a 4 ordenadores de los 10.000 que posee el hospital. Por suerte, la infección no se  propagó a más equipos y los ordenadores infectados fueron restaurados mediante el uso de copias de restauración.

Lecciones aprendidas

La rápida detección del ransomware y la disposición de copias de respaldo impidieron una expansión del malware y el restablecimiento de los equipos afectados.

  • Abril 2016, Eléctrica de Michigan: El 25 de abril, BWL, un proveedor de electricidad y agua corriente del estado de Michigan, detectó una actividad anómala en sus sistemas debido a que estaba afectado por un ransomware. Tardaron una semana en recuperar la actividad normal, y la empresa confirmó que los datos tanto de empleados como de clientes no se vieron afectados.

Lecciones aprendidas

La creación de listas blancas o uso de herramientas para la detección de anomalías en los procesos permite detectar la ejecución o intentos de ejecución de malware o aplicaciones no permitidas.

  • Noviembre 2016, Metro de San Francisco: Más de 2000 ordenadores fueron comprometidos dentro del sistema de transporte público de San Francisco. El atacante, que posteriormente fue descubierto, pedía 65.882€ como rescate. Este rescate no fue pagado pero la infección obligó a prestar de forma gratuita el servicio que realizan los quioscos de venta de billetes durante 2 días.

Lecciones aprendidas

La concienciación frente a ingeniería social y el uso dado a medios corporativos por parte del personal ayuda de prevenir infecciones no deseadas.

Aunque de momento no existe un ransomware especifico que afecte a dispositivos industriales, tampoco es necesario que una infección llegue a dispositivos del nivel de campo. Afectar a dispositivos del nivel de supervisión o equipos de propósito general con sistemas operativos comerciales, podría ser suficiente para ocasionar grandes problemas en los sistemas de control industrial. La imposibilidad de poder gestionar ciertas variables, por culpa de una pérdida de comunicación o de disponibilidad de acceso, originaría un parón del proceso con las consiguientes pérdidas asociadas.

Prevención y buenas prácticas frente al ransomware

Además de las lecciones aprendidas comentadas, existen otros puntos a tener en cuenta:

  • Servicios
    • Uso de servicios públicos como el Servicio antiransomware de INCIBE.
    • Visitar páginas web pertenecientes a iniciativas o empresas que aportan soluciones tanto para particulares como para otras empresas como puede ser nomoreransom.org.
  • Configuraciones y herramientas
    • Desactivar el uso de Javascript en programas utilizados para el tratamiento de documentos, como visores PDF.
    • Uso de indicadores de compromiso actualizados y reglas de YARA afinadas para la detección de amenazas ya conocidas.
    • Utilizar herramientas antiransomware siempre que sea posible, como por ejemplo Anti Ransom.
    • Configuración de filtros anti-spam en cortafuegos, ejecución de programas y tratamiento de documentos en entornos aislados de ejecución, etc.