El último informe de seguridad OT/IoT de Nozomi Networks Labs revela que el malware Wiper, la actividad de las redes de bots IoT y la guerra entre Rusia y Ucrania tuvieron un impacto en el aumento de las amenazas durante el primer semestre de 2022.
Desde que Rusia inició la invasión de Ucrania en febrero de 2022, los investigadores de Nozomi Networks Labs observaron actividad de varios tipos de actores de amenazas, como hacktivistas, APTs soportados por estados nación y ciberdelincuentes. Además, han observado el uso intensivo de malware wiper y han sido testigos del surgimiento de una variante del malware Industroyer, renombrada como Industroyer2, desarrollada para hacer un uso indebido del protocolo IEC-104, que es comúnmente utilizado en entornos industriales del sector eléctrico.
Por otra parte, en el primer semestre de 2022, la actividad de los botnets de IoT maliciosos fue aumentando y se hizo más sofisticada. Nozomi Networks Labs estableció una serie de honeypots con el fin de atraer a estas redes de bots maliciosas y capturar su actividad para proporcionar información adicional sobre la forma en que los actores de las amenazas se dirigen al IoT. Con este estudio, los analistas de Nozomi Networks Labs revelaron la creciente preocupación por la seguridad tanto de las contraseñas codificadas como de las interfaces de Internet para acceso con las credenciales de los usuarios finales. Entre enero y junio de 2022, los honeypots de Nozomi Networks encontraron:
- Marzo fue el mes más activo, con casi 5.000 direcciones IP únicas de autores de ataques recopiladas.
- Las principales direcciones IP de los atacantes estaban relacionadas con China y Estados Unidos.
- Las credenciales «root» y «admin» fueron el objetivo más frecuente y se utilizaron en múltiples variaciones como forma de que los actores de la amenaza accedieran a todos los comandos del sistema y a cuentas de usuarios.
En lo que respecta a la vulnerabilidad, la industria manufacturera y la energía siguen siendo los sectores más vulnerables, seguidos por el sector de infraestructura hospitalaria y las instalaciones comerciales. Durante los seis primeros meses del año 2022:
- El CISA publicó 560 vulnerabilidades y exposiciones comunes (CVE), un 14% menos que en el segundo semestre de 2021
- El número de proveedores afectados aumentó un 27%.
- Los productos afectados también aumentaron un 19% con respecto al segundo semestre de 2021
«Este año el panorama de las ciberamenazas es complejo», dijo Roya Gordon, líder evangelista de investigación de seguridad OT/IoT de Nozomi Networks. «Hay muchos factores, como el aumento del número de dispositivos conectados, la sofisticación de los actores maliciosos y los cambios en las motivaciones de los ataques, que aumentan el riesgo de una brecha o un ataque ciberfísico. Afortunadamente, las defensas de seguridad están evolucionando también. Ya están disponibles las soluciones para dar a las organizaciones de infraestructuras críticas la visibilidad de la red, la detección dinámica de amenazas y la inteligencia procesable que necesitan para minimizar el riesgo y maximizar la resiliencia.»