Hasta que sucedió lo impensable. La compañía de ciberseguridad Kaspersky advierte, a través del informe ICS CERT, sobre un malware capaz de robar datos de equipos sin conexión a Internet. Parece algo futurista pero todo tiene una explicación para que sepas cómo evitar la filtración de tus datos personales.
En la primera fase del ataque, el malware extrae información de sistemas con brechas de aire o air gap (dispositivos y equipos aislados o desconectados de la red principal), allanando el terreno para la transmisión de los datos. Para la segunda fase, hay dos tipos de implantes específicos: un malware modular que infecta unidades extraíbles (como los USB) a través de un gusano o un malware diseñado para robar datos de las computadoras locales y enviarlos a una cuenta de Dropbox de los ciberatacantes
Ambos malwares -precisa Kaspersky– tienen por objetivo la administración de dispositivos extraíbles, la captura de datos y la implantación de malware en las unidades recién conectadas.
Los analistas de Kaspersky detectaron que los ciberdelincuentes eluden los sistemas de seguridad mediante la encriptación de cargas útiles en archivos binarios separados y mediante la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de técnicas como DLL Hijacking e inyecciones de memoria.
“Los esfuerzos de los ciberdelincuentes por ofuscar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL hablan por sí solo de lo sofisticadas que son sus tácticas. Aunque la filtración de datos de redes aisladas es una estrategia recurrente adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por el actor de amenazas. Kaspersky continúa ofreciendo protección contra estos y otros ataques cibernéticos, y colabora con la comunidad de ciberseguridad para difundir inteligencia de amenazas que se pueda procesar”, explica Kirill Kruglov, investigador sénior de seguridad de Kaspersky.
Cómo protegerse de esta amenaza
- Realizar evaluaciones periódicas de seguridad en los sistemas OT para identificar y eliminar problemas de ciberseguridad.
- Evaluar y clasificar con regularidad las vulnerabilidades para su mejor gestión. Soluciones específicamente dedicadas como Kaspersky Industrial CyberSecurity son eficaces, además de una fuente de información procesable única y no disponible para todos los públicos.
- Actualizar los equipos de la red e instalar parches de seguridad, así como tomar las medidas que sean necesarias tan pronto como sea posible. Estas acciones son cruciales para prevenir incidentes que paralizan los procesos productivos de las empresas con costes en muchas ocasiones millonarios.
- El uso de soluciones EDR como Kaspersky Endpoint Detection and Response permite la detección de amenazas de alto nivel, así como la investigación y reparación efectiva de incidentes.
- Mejorar la respuesta a las nuevas técnicas de los ciberdelincuentes y fortalecer las habilidades de prevención, detección y respuesta de incidentes de los equipos. La capacitación específica en seguridad OT para el personal de seguridad de TI y el propio personal de OT es clave en este sentido.
notiveraz