En los últimos años, los ciberataques a la industria manufacturera se multiplicaron; tan solo el año pasado FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de Fortinet, detectó más de 4.8 billones de intentos de ataques, la mayoría de los casos enfocados a explotar vulnerabilidades poco conocidas de sistemas y equipamientos usualmente encontrados en estos entornos operativos.
A finales del 2022, Estados Unidos ocupaba el 3er lugar de las regiones más afectadas por actividad de código malicioso, representando el 9.1%; seguido de Latinoamérica, con el 4° lugar y representando el 7.4%, lo que dañó a empresas de talla internacional, causando costos de casi 5 millones de dólares, invertidos en remediación.
Un caso cuyo impacto afectó diferentes locaciones y regiones de operación, estuvo relacionando con una empresa líder en manufactura de neumáticos. La situación se visibilizó durante un llamado nocturno a los equipos de mantenimiento y almacenes a que acudieran ante un incidente en diferentes instalaciones de manufactura ubicadas en Carolina, Carolina del Sur, Tennessee, Illinois, Iowa y otras fábricas en América del Sur. Posteriormente a este llamado y a través de su página de Facebook, el equipo de Recursos Humanos envió un mensaje a sus colaboradores, invitándolos a permanecer en casa y no presentarse a trabajar.
Tras una investigación, el FBI publicó algunos indicadores de compromiso asociados con ciberataques del ransomware LockBit 2.0. Una de las principales acciones emprendidas por la empresa fue desconectar de su red varios de sus procesos de manufactura en las regiones afectadas, como estrategia para contener y prevenir ataques potenciales, lo que llevó al cese de la producción.
También lee: Braskem Idesa: “La ‘Economía Circular’ no es una moda pasajera”
Datos que no hay que olvidar sobre ciberataques
LockBit funciona como un grupo de afiliados que venden sus servicios (Ransomware-as-a Service) y reciben un pago de 70% a 90% del valor del secuestro de datos y dispositivos, según el tamaño de la empresa atacada. Puede ser clasificado como un ransomware polimórfico que utiliza diferentes tácticas, técnicas y procedimientos para atacar negocios e infraestructuras críticas.
En marzo del presente año, se identificó LockBit 3.0, una nueva versión, provocando que la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) la incluyera en su campaña “#StopRansomware”.[1]
La infección inicia cuando el ransomware logra acceder a la víctima mediante el exploit de protocolo de escritorio remoto (RDP), campañas de phishing, compromiso de cuentas válidas y vulnerabilidades de aplicaciones edge.
Posteriormente al acceso, el proceso de ejecución e infección continúa con intentos de escalar privilegios para visualizar la red, terminar procesos, servicios, eliminando documentación y creando copias ilícitas de la información almacenada para su posterior comercialización o secuestro.
Después de 10 días, voceros de la manufacturera declararon de manera extraoficial que ya se había reactivado su producción, pero que se continuaba investigando el origen del ataque, las posibles implicaciones, el valor de los datos obtenidos y los posibles costos de afectación; posteriormente no se emitieron boletines corporativos públicos.
Autor: Jade Tamayo, Gerente de Desarrollo de Negocio para Fortinet
[1] CISA, 2023. Cybersecurity Advisory, “#StopRansomware: LockBit 3.0”. Disponible para consulta en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a
