Solo unas pocas veces en la historia de la piratería se ha detectado un código malicioso que intenta interferir directamente con los sistemas de control industrial, las computadoras que cierran la brecha entre los sistemas digitales y físicos. Esos especímenes raros de malware tienen centrifugadoras de enriquecimiento nuclear destruidas en Irán y provocó un apagón en Ucrania. Ahora, ha surgido una muestra de malware que utiliza el conocimiento específico de los sistemas de control para atacarlos con una táctica mucho más contundente y familiar: elimine los procesos de software del objetivo, encripte los datos subyacentes y manténgalos como rehenes.

Durante el último mes, los investigadores de empresas de seguridad como Sentinel One y Dragos han intrigado sobre un código llamado Snake o EKANS, que ahora creen que está diseñado específicamente para apuntar a sistemas de control industrial, el software y el hardware utilizados en todo, desde refinerías de petróleo hasta redes eléctricas para instalaciones de fabricación. Al igual que otros ransomware, EKANS cifra los datos y muestra una nota a las víctimas que exigen el pago para liberarlos; el nombre proviene de una cadena que planta como marcador de archivo en una computadora víctima para identificar que sus archivos ya han sido encriptados.

Pero EKANS también usa otro truco para aumentar el dolor: está diseñado para terminar 64 procesos de software diferentes en las computadoras de las víctimas, incluidos muchos que son específicos de los sistemas de control industrial. Eso le permite luego cifrar los datos con los que interactúan esos programas del sistema de control. Si bien es crudo en comparación con otro malware diseñado específicamente para el sabotaje industrial, ese objetivo puede, no obstante, romper el software utilizado para monitorear la infraestructura, como los oleoductos de una empresa petrolera o los robots de una fábrica. Eso podría tener consecuencias potencialmente peligrosas, como evitar que el personal supervise o controle de forma remota el funcionamiento del equipo.

EKANS es en realidad el segundo ransomware en llegar a los sistemas de control industrial. Según Dragos, otra cepa de ransomware conocida como Megacortex que apareció por primera vez la primavera pasada incluía todas las mismas características de eliminación de procesos del sistema de control industrial, y de hecho puede ser un predecesor de EKANS desarrollado por los mismos hackers. Pero debido a que Megacortex también finalizó cientos de otros procesos, sus características específicas del sistema de control industrial pasaron por alto en gran medida.

Todavía no está claro si la responsabilidad del ransomware dirigido a la industria recae en los piratas informáticos patrocinados por el estado, que buscan crear interrupciones y cubrir sus huellas con una artimaña de ransomware, o ciberdelincuentes reales que buscan obtener ganancias. Pero Vitali Kremez, un investigador de Sentinel One que primero publicitó el descubrimiento de EKANS a principios de este mes, junto con un grupo de investigadores conocido como Malware Hunter Team, argumenta que los sistemas de control industrial son objetivos naturales para los atacantes de ransomware. Me gusta hospitales y gobiernos, tienen una cantidad desproporcionada que perder si se desconectan.

"Estas máquinas de sistemas de control industrial son algunos de los objetivos de mayor valor", dice Kremez. "Hay mucha urgencia y la disponibilidad de datos es el núcleo de la misión. Por lo tanto, hay muchos incentivos para pagar a los atacantes".

Ciertamente, las empresas industriales se han visto afectadas por el ransomware convencional centrado en Windows en el pasado, como el ciberataque desastroso contra la empresa noruega de aluminio Hydro Norsk el año pasado. Pero EKANS y Megacortex van un paso más allá, hacia las entrañas técnicas de los sistemas de control industrial. Entre las docenas de procesos que finaliza se encuentran los utilizados por el software Proficy de GE, un programa de "historiador de datos" que mantiene registros de la información operativa en entornos industriales, así como el mecanismo que verifica la licencia paga de un cliente para el software de automatización Fanuc de GE, el el software de supervisión y gestión Thingworx y un programa de interfaz de control vendido por Honeywell.

"En virtud de eliminar esta funcionalidad, no necesariamente hará que la planta se detenga bruscamente, pero disminuirá la visibilidad de la víctima y la comprensión de su entorno", dice Joe Slowik, un investigador que analizó el EKANS y Malware Megacortex para la empresa de seguridad ICS Dragos. Pero Slowik también señala que no es fácil predecir cómo el software Fanuc de GE maneja una interrupción de sus controles de licencias, que dependen de la industria y la configuración específica del cliente. Si el software de automatización está configurado de manera que no pueda funcionar sin una licencia, eso podría tener consecuencias más graves. "Si eliminar el servidor de licencias da como resultado que los operadores ya no puedan operar ciertas máquinas, eso podría producir una situación de pérdida de control que podría volverse peligrosa", dice Slowik.

Sentinel One dice que la lista de víctimas de EKANS probablemente incluye a Bapco, la compañía petrolera nacional de Bahrein. La empresa de seguridad recibió una copia del malware EKANS de un cliente en el Medio Oriente, que lo había obtenido de la red infectada de otra organización en Bahrein, dice Kremez de Sentinel One. Y al menos una versión del mensaje de rescate que muestra el malware pide a las víctimas que envíen un correo electrónico a los extorsionistas a la dirección bapcocrypt@ctemplar.com. (Bapco no respondió a la solicitud de comentarios de WIRED). Pero Slowik de Dragos señala que el software de automatización Fanuc dirigido por EKANS se usa típicamente para administrar equipos en instalaciones de fabricación, no en empresas petroleras. "Esto implica que hay otras víctimas ahí fuera", dice Slowik.