En el primer semestre del año los expertos del Kaspersky ICS CERT se han topado con una curiosa anomalía en las estadísticas sobre amenazas de spyware bloqueadas en ordenadores industriales.
Pese a que el código malicioso utilizado pertenecía a conocidas familias de spyware, como Agent Tesla/Origin Logger, HawkEye y otras, los ataques llamaban la atención debido al limitado número de objetivos en cada uno (desde uno a pocas decenas) y por la corta vida de cada muestra maliciosa.
La compañía rusa revela que, de las 58.586 muestras de spyware bloqueadas en ordenadores ICS durante la primera mitad de 2021, aproximadamente el 21,2% de ellas formaba parte de esta nueva clase de amenazas.
Estas muestras halladas tendrían una duración de unos 25 días, siendo mucho menos 'longevas' que las campañas de malware clásicas.
“A lo largo de 2021, los ciberdelincuentes utilizaron programas espía para atacar ordenadores industriales. Hoy somos testigos de una nueva tendencia que evoluciona rápidamente en el panorama de las amenazas industriales y es que, para evitar la detección, los delincuentes reducen el tamaño de cada ataque y limitan el uso de cada muestra de malware obligándose a sustituirla rápidamente por otra recién construida", comenta Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT.
La gran parte de estas campañas se difunden de una empresa industrial a otra a través de emails de phishing bien construidos. Una vez que ha penetrado en el sistema de la víctima, el atacante utiliza el dispositivo como servidor C2 (comando y control) del siguiente ataque. Con el acceso al listado de contactos de la víctima, los delincuentes pueden utilizar el correo electrónico corporativo para seguir propagando el software espía.
"Otras tácticas incluyen el uso de la infraestructura del correo electrónico corporativo para propagar el malware. Esto es diferente a todo lo que hemos observado antes en materia de programas espía y prevemos que este tipo de ataques continuarán ganando terreno el año que viene", aclara el experto.
Más de 2.000 organizaciones afectadas
Esta nueva clase de ataques tiene ya una gran presencia. En Asia, por ejemplo, uno de cada seis ordenadores atacados con programas espía fue afectado por una de las muestras de programas espía "anómalos" (2,1% del 11,9%).
Kaspersky apunta a que más de 2.000 organizaciones industriales de todo el mundo han sido incorporadas a la infraestructura maliciosa y utilizadas por las bandas de cibercriminales para ampliar el ataque a sus organizaciones de contacto y socios comerciales. La cifra total de cuentas corporativas comprometidas o robadas sobrepasaría las 7.000.
Además, los expertos identificaron más de 25 mercados diferentes donde se vendían las credenciales robadas de estas campañas industriales. Principalmente afectan a cuentas de escritorio remoto (RDP). Más del 46% de todas las cuentas RDP distribuidas en los mercados analizados pertenecen a empresas de EE.UU, mientras que el resto proceden de Asia, Europa y América Latina. Casi el 4% (unas 2.000 cuentas) de todas las cuentas RDP difundidas corresponden a empresas industriales.