Siete familias de ransomware se dirigen al software industrial

Se ha encontrado que un total de siete familias de ransomware apuntan a procesos asociados con el software de tecnología operativa (OT), FireEye publicó esta semana un análisis de estas piezas de malware.

Según FireEye, hay dos «listas de eliminación de procesos» principales que incluyen software industrial. Uno de ellos, que se dirige a más de 1,000 procesos, y es utilizado por seis familias de ransomware, incluidos SNAKE (SNAKEHOSE, EKANS), DoppelPaymer, LockerGoga, Maze, MegaCortex y Nefilim. La segunda lista, que apunta a 1.425 procesos, solo se ha encontrado para ser utilizada por el ransomware CLOP.

Mientras que la primera lista apunta solo a un par de docenas de procesos ICS, principalmente asociados con la solución GE Proficy, la segunda lista apunta a más de 150 procesos relacionados con productos industriales, incluidos Siemens SIMATIC WinCC, Beckhoff TwinCAT, el software de adquisición de datos de National Instruments, Kepware KEPServerEX y El protocolo de comunicaciones OPC.

En el caso de la primera lista, que puede haber sido publicada en un foro clandestino o compartida por un actor de amenazas con otros grupos, la finalización de los procesos OT dirigidos puede resultar en una pérdida limitada de visión de los datos del proceso histórico, pero es poco probable para evitar que la víctima controle los procesos físicos.

En el caso de la segunda lista, solo utilizada por el ransomware CLOP, que se ha vinculado a un grupo de amenaza vinculado a Rusia, rastreado como TA505, los investigadores de FireEye creen que la lista se ha ampliado en función de la actividad de reconocimiento de los atacantes realizada en las redes de víctimas.

El grupo ha estado activo desde al menos 2016, posiblemente a principios de 2014, y según lo que saben los investigadores al respecto, la focalización de los sistemas industriales es probablemente otra técnica utilizada para aumentar sus posibilidades de ganar dinero. Sin embargo, la terminación de los procesos OT a los que apunta CLOP es más probable que cause interrupciones en comparación con las otras piezas de ransomware.

“A diferencia de la primera lista de eliminación, la muestra CLOP incluye una lista de procesos que, si se detienen, pueden afectar directamente la capacidad del operador para visualizar y controlar la producción. Esto es especialmente cierto en el caso de algunos procesos incluidos que admiten la supervisión de HMI y PLC”, dijo FireEye .

Los operadores del ransomware CLOP han creado un sitio web donde filtran información de empresas que se niegan a pagar. Una de sus víctimas es el gigante farmacéutico estadounidense ExecuPharm .

Los ciberdelincuentes afirman que nunca atacarán hospitales, hogares de ancianos, orfanatos y fundaciones de caridad. Por un lado, amenazan con filtrar datos robados de organizaciones cuyos sistemas han pirateado, y por otro lado, ofrecen ayudar a las víctimas a proteger sus sistemas por una tarifa de US$250,000 en bitcoin.