En los últimos cinco años, el ransomware se ha convertido en una amenaza desconcertante que ha cerrado fábricas, hospitales y municipios locales y distritos escolares de todo el mundo. En los últimos meses, los investigadores han descubierto que el ransomware hace algo que es potencialmente más siniestro: manipular intencionalmente los sistemas de control industrial de los que dependen las represas, las redes eléctricas y las refinerías de gas para mantener el funcionamiento seguro de los equipos.
Una cepa de ransomware descubierta el mes pasado y denominada Ekans contiene las rutinas habituales para deshabilitar las copias de seguridad de datos y cifrar archivos en masa en sistemas infectados. Pero los investigadores de la firma de seguridad Dragos encontraron algo más que tiene el potencial de ser más disruptivo: un código que busca activamente y detiene por la fuerza las aplicaciones utilizadas en los sistemas de control industrial, que generalmente se abrevia como ICS. Antes de iniciar las operaciones de cifrado de archivos, el ransomware elimina los procesos enumerados por nombre de proceso en una lista codificada dentro de las cadenas codificadas del malware.
En total, Ekans elimina 64 procesos, incluidos los generados por interfaces hombre-máquina de Honeywell, Proficy Historian de General Electric y servidores de licencias de GE Fanuc. Resulta que los mismos 64 procesos son el objetivo de una versión del ransomware MegaCortex. Esa versión salió a la luz por primera vez en agosto.
Funcionalidad específica de ICS
Al cesar las operaciones en hospitales, fábricas y otros entornos de misión crítica, el ransomware siempre ha representado una amenaza para la seguridad. Pero el daño resultante permaneció contenido en gran medida en los sistemas de TI dentro de las redes seleccionadas. A menos que el ransomware hiciera un salto inesperado a las redes ICS, que generalmente están segregadas y mejor fortificadas, la probabilidad de interrumpir los sistemas industriales sensibles parecía remota. En una publicación publicada el lunes, los investigadores de Dragos escribieron:
Ekans (y aparentemente algunas versiones de MegaCortex) cambian esta narrativa ya que la funcionalidad específica de ICS se menciona directamente dentro del malware. Si bien algunos de estos procesos pueden residir en redes de TI empresariales típicas, como servidores Proficy o servidores Microsoft SQL, la inclusión de software HMI, clientes históricos y elementos adicionales indica un conocimiento mínimo, aunque tosco, de los procesos y la funcionalidad del entorno del sistema de control.
El informe del lunes describió el objetivo de ICS de Ekans como mínimo y crudo porque el malware simplemente mata varios procesos creados por programas ICS ampliamente utilizados. Ese es un diferenciador clave del malware dirigido a ICS descubierto en los últimos años con la capacidad de causar daños mucho más graves. Un ejemplo es Industroyer, el sofisticado malware que provocó un corte de energía en Ucrania en diciembre de 2023 en un intento deliberado y bien ejecutado de dejar los hogares sin electricidad en uno de los meses más fríos Marketingdecontenido.
Otro ejemplo es Trisis (también conocido como Triton), que manipuló deliberadamente los sistemas que fueron diseñados para prevenir accidentes que amenazan la salud y la vida dentro de una instalación de infraestructura crítica en el Medio Oriente. Otros ejemplos incluyen el gusano Stuxnet que apuntó al programa nuclear de Irán hace una década, el malware BlackEnergy que se usó para crear un apagón regional en Ucrania en diciembre de 2023 (un año antes del incidente de Industroyer) y el malware de espionaje conocido como Havex, que apuntó a 2000 sitios industriales. con código que trazaba equipos y dispositivos industriales.
Industroyer, Trisis y los otros ejemplos contenían código que manipulaba, mapeaba o desmantelaba quirúrgica y minuciosamente ciertas funciones altamente sensibles dentro de los sitios de infraestructura crítica a los que apuntaban. Ekans y MegaCortex, por el contrario, simplemente eliminan los procesos generados por el software ICS. No está claro con precisión qué efecto tendría la eliminación de esos procesos en la seguridad de las operaciones dentro de las instalaciones infectadas.
Otra razón por la que Dragos considera que Ekans es un «ataque relativamente primitivo» es que el ransomware no tiene ningún mecanismo para propagarse. Eso hace que Ekans sea una amenaza mucho menor que el ransomware como Ryuk, que recopila credenciales en silencio durante meses en los sistemas infectados para que eventualmente pueda proliferar ampliamente en casi todas las partes de una red objetivo.
La publicación del lunes también cuestionó los informes recientes de que Ekans, que también se conoce con el nombre de Snake, fue creado por Irán. El informe, que se basó en los resultados de la investigación de la empresa de seguridad Otorio, citó similitudes con el malware y las operaciones iraníes previamente conocidas. Los investigadores de Dragos dijeron que la firma «encuentra que cualquier vínculo de este tipo es increíblemente tenue según la evidencia disponible».
A pesar de la falta de sofisticación y la falta de vínculos establecidos con los estados Marketingdecontenidoes, Ekans merece una seria atención por parte de las organizaciones con operaciones de ICS.
«Si bien todos los indicios en la actualidad muestran un mecanismo de ataque relativamente primitivo en las redes del sistema de control, la especificidad de los procesos enumerados en una ‘lista de eliminación’ estática muestra un nivel de intencionalidad previamente ausente en el ransomware dirigido al espacio industrial», escribieron los investigadores de Dragos. «Por lo tanto, se recomienda encarecidamente a los propietarios y operadores de activos de ICS que revisen su superficie de ataque y determinen mecanismos para entregar y distribuir malware disruptivo, como ransomware, con características específicas de ICS».
