En el primer semestre de 2023, la actividad de malware en entornos OT e IoT en todo el mundo se multiplicó por 10 y las alertas sobre aplicaciones no deseadas se duplicaron, ya que los estados-nación, los grupos criminales y los hacktivistas siguen teniendo como objetivo la sanidad, la energía y la fabricación.
El último informe de seguridad OT e IoT de Nozomi Networks Labs revela que la actividad de malware y las alertas sobre aplicaciones no deseadas han aumentado drásticamente en entornos OT e IoT, ya que los estados-nación, los grupos criminales y los hacktivistas siguen teniendo como objetivo la sanidad, la energía y la fabricación.
Telemetría del mundo real
La telemetría exclusiva de Nozomi Networks Labs, recopilada de entornos OT e IoT que abarcan una variedad de casos de uso e industrias en todo el mundo, descubrió que las amenazas de seguridad relacionadas con el malware se multiplicaron por 10 en los últimos seis meses. En la amplia categoría de malware y aplicaciones potencialmente no deseadas, la actividad aumentó un 96%. Las amenazas relacionadas con los controles de acceso aumentaron más del doble. La falta de autenticación y de higiene de las contraseñas encabezó la lista de alertas críticas por segundo periodo consecutivo, aunque la actividad en esta categoría disminuyó un 22% con respecto al periodo anterior.
"Hay buenas y malas noticias en este último informe", afirma Chris Grove, Director de Estrategia de Ciberseguridad de Nozomi Networks. "Un descenso significativo de la actividad por cliente en categorías como problemas de autenticación y contraseñas y comportamiento sospechoso o inesperado en la red sugiere que los esfuerzos para asegurar los sistemas en estas áreas pueden estar dando sus frutos. Por otro lado, la actividad del malware aumentó drásticamente, lo que refleja una escalada del panorama de amenazas. Es hora de "pisar el acelerador" para reforzar nuestras defensas".
A continuación figura la lista de las principales actividades de amenazas críticas en entornos reales durante los últimos seis meses:
- Autenticación y emisión de contraseñas - un 22% menos.
- Anomalías y ataques a la red - aumento del 15%.
- Amenazas específicas a la tecnología operativa (OT) - descenso del 20%.
- Comportamiento sospechoso o inesperado de la red - reducción del 45%.
- Control de acceso y autorización - aumento del 128%.
- Malware y aplicaciones potencialmente no deseadas - aumento del 96%.
En lo que respecta específicamente al malware, la actividad de denegación de servicio (DOS) sigue siendo uno de los ataques más frecuentes contra los sistemas OT. Le sigue la categoría de troyanos de acceso remoto (RAT) utilizados habitualmente por los atacantes para establecer el control sobre las máquinas comprometidas. Las amenazas de denegación de servicio distribuido (DDoS) son la principal amenaza en los dominios de red IoT.
Datos de Honeypots IoT
Las botnets maliciosas de IoT siguen activas este año. Nozomi Networks Labs descubrió una creciente preocupación por la seguridad, ya que los botnets siguen utilizando credenciales predeterminadas en sus intentos de acceder a los dispositivos IoT.
De enero a junio de 2023, los honeypots de Nozomi Networks encontraron:
- Una media de 813 ataques únicos diarios - el día de ataque más alto alcanzó los 1.342 el 1 de mayo
- Las principales direcciones IP de los atacantes estaban asociadas a China, Estados Unidos, Corea del Sur, Taiwán e India.
- Los intentos de fuerza bruta siguen siendo una técnica popular para obtener acceso al sistema: las credenciales predeterminadas son una de las principales formas en que los actores de amenazas obtienen acceso a IoT.
Vulnerabilidades de ICS
En el frente de la vulnerabilidad, la industria manufacturera, la energía y el agua/aguas residuales siguen siendo los sectores más vulnerables. La alimentación y la agricultura y los productos químicos se sitúan entre los cinco primeros, sustituyendo al transporte y la sanidad, que se encontraban entre los cinco sectores más vulnerables en nuestro anterior informe semestral. En el primer semestre de 2023:
- CISA publicó 641 Vulnerabilidades y Exposiciones Comunes (CVEs)
- 62 proveedores se vieron afectados
- Las vulnerabilidades de lectura fuera de los límites y de escritura fuera de los límites se mantuvieron entre las principales CVE: ambas son susceptibles de varios ataques diferentes, incluidos los ataques de desbordamiento del búfer.
Informe de seguridad OT e IoT de Nozomi Networks Labs: Unpacking the Threat Landscape with Unique Telemetry Data" de Nozomi Networks Labs proporciona a los profesionales de la seguridad los últimos conocimientos necesarios para reevaluar los modelos de riesgo y las iniciativas de seguridad, junto con recomendaciones prácticas para proteger las infraestructuras críticas.
(Nozomi Labs)
