La botnet Sality se dirige a los sistemas de control industrial

Sality es una botnet antigua que continúa evolucionando. En la última edición, se encontró la variante dirigida a los sistemas de control industrial (ICS). Un actor de amenazas está infectando ICS para crear una botnet a través de un software de descifrado de contraseñas para controladores lógicos programables (PLC). Estos software de recuperación de contraseñas […]

Sality es una botnet antigua que continúa evolucionando. En la última edición, se encontró la variante dirigida a los sistemas de control industrial (ICS).

Un actor de amenazas está infectando ICS para crear una botnet a través de un software de descifrado de contraseñas para controladores lógicos programables (PLC).

Estos software de recuperación de contraseñas descifradas se anuncian en los foros de las redes sociales y ofrecen desbloquear terminales PLC y HMI de más de una docena de empresas de fabricación de productos electrónicos como Omron, Siemens, Fuji Electric, Mitsubishi, LG y muchas más.

A medida que se anuncian en línea, los ingenieros industriales y los operadores se ven atraídos a ejecutar el software que promete recuperar la contraseña en texto sin formato.

Sin embargo, los investigadores de Dragos afirman que el software descifrado está explotando una vulnerabilidad conocida, rastreada como CVE-2022-2003, en los dispositivos para eliminar la botnet Sality.

Una vez que la botnet Sality se ejecuta en los sistemas, se une a una red P2P y proporciona acceso remoto al sistema.

Su intención principal es causar interrupciones en las tareas informáticas y la minería de criptomonedas.

Emplea una variedad de técnicas de evasión y secuestra silenciosamente el contenido de las direcciones de la billetera de criptomonedas del portapapeles para robar los fondos de las personas.

Según los investigadores, la campaña está en curso y los administradores de los sistemas PLC de los proveedores afectados deben ser conscientes del riesgo de utilizar software de recuperación de contraseñas en entornos ICS. Deben evitar descargar software de fuentes desconocidas. Durante el tiempo de redacción, se descubrió que Automation Direct ha lanzado una actualización de firmware para corregir la falla.