Miles de organizaciones industriales en todo el mundo se han visto afectadas por campañas que aprovechan el malware de corta duración para recolectar credenciales corporativas que luego los actores de amenazas venden para obtener ganancias, según Kaspersky.
La unidad de Kaspersky dedicada a los sistemas de control industrial (ICS) ha realizado un análisis de la malware encontrado en la primera mitad de 2021 en computadoras ICS en todo el mundo y notó que aproximadamente el 20% de estas muestras tenían una vida útil de aproximadamente 25 días; luego se reemplazan con una nueva muestra.
Esto es significativamente más corto que en los ataques típicos, particularmente porque el malware involucrado formaba parte de familias de productos básicos ampliamente conocidas como AgentTesla, HawkEye, Formbook, Masslogger, Snake Keylogger, Azorult y Lokibot.
Kaspersky describe el malware utilizado en estas campañas como spyware: el equipo de ICS de la empresa utiliza este término para las puertas traseras, los troyanos y los registradores de teclas.
Además de su corta vida útil, el malware no se distribuyó ampliamente en estas campañas: se infectaron hasta 100 dispositivos, incluido el 40-45 % de los dispositivos relacionados con ICS.
Vale la pena señalar que, según la definición de Kaspersky, estos pueden incluir HMI, sistemas SCADA, historiadores, puertas de enlace de datos, estaciones de trabajo de ingeniería, computadoras utilizadas para la administración de redes industriales y dispositivos utilizados para desarrollar software para sistemas industriales.
Obtenga más información sobre las amenazas de ICS en Conferencia de seguridad cibernética ICS de SecurityWeek
Una vez dentro de la red de una organización, los atacantes se mueven lateralmente y comprometen el servicio de correo electrónico corporativo de la víctima para entregar el malware a otras organizaciones. Los investigadores de Kaspersky han identificado más de 2,000 cuentas de correo electrónico corporativas utilizadas para enviar correos electrónicos de phishing con archivos adjuntos maliciosos.
Los investigadores creen más que 2,000 empresas industriales han sido atacadas en estas campañas, que son dirigidas de manera independiente por “individuos poco calificados y pequeños grupos”. Estos actores de amenazas tienen una motivación financiera: utilizan los datos robados para cometer delitos financieros directamente o venden las credenciales SMTP, RDP, SSH y VPN obtenidas en los mercados de delitos cibernéticos.
Kaspersky estima que los atacantes han obtenido acceso a aproximadamente 7,000 cuentas corporativas. Las credenciales robadas en estas campañas se han vendido en 25 mercados.
“El análisis de esos mercados mostró una gran demanda de credenciales de cuentas corporativas, especialmente para cuentas de escritorio remoto (RDP)”, señaló Kaspersky. “Más del 46 % de todas las cuentas RDP vendidas en los mercados analizados son propiedad de empresas en los EE. UU., mientras que el resto se origina en Asia, Europa y América Latina. Casi el 4% (casi 2,000 cuentas) de todas las cuentas RDP que se vendieron pertenecían a empresas industriales”.
Relacionado: Proveedores de ICS apuntados en campaña de espionaje centrada en energía renovable
Relacionado: Miles de sistemas industriales atacados con el nuevo spyware 'PseudoManuscrypt'
Relacionado: La campaña 'WildPressure' se dirige al sector industrial de Oriente Medio
Relacionado: Los ciberdelincuentes apuntan a las organizaciones industriales en una campaña de robo de información
Eduardo Kovacs (@EduardKovacs) es un editor colaborador de SecurityWeek. Trabajó como profesor de informática en la escuela secundaria durante dos años antes de comenzar una carrera en periodismo como reportero de noticias de seguridad de Softpedia. Eduard tiene una licenciatura en informática industrial y una maestría en técnicas informáticas aplicadas a la ingeniería eléctrica.
Tags: 
