A principios de junio, Vedere Labs de Forescout Technologies publicó un informe sobre R4IoT, un despliegue de ransomware que se dirige específicamente a los dispositivos del IoT. El ataque de prueba de concepto que se probó durante esta primera investigación de este aspecto de la seguridad del IoT utilizó cámaras de seguridad conectadas a la red para obtener acceso a una red empresarial.
El ataque en sí utilizó dispositivos IoT -cámaras de seguridad en la simulación- para entrar en el servidor informático de un hospital. Luego se movió lateralmente para afectar tanto a la red corporativa como a la operativa, donde los hackers pudieron instalar un minero de criptomonedas y un malware que interrumpió el sistema de climatización.
En el momento de escribir este artículo, hay más de 1.000 formas de ransomware en circulación, y cada 11 segundos aproximadamente se produce un ataque de ransomware en algún lugar del mundo. Este malware ha permitido a los hackers explotar los dispositivos IoT durante al menos los últimos seis años. Por ejemplo, FLocker, un ransomware lanzado originalmente en 2016, tiene como objetivo los televisores inteligentes con sistema operativo Android. Aunque el vector original de este exploit en particular eran los dispositivos móviles, el uso de un sistema operativo común abrió vulnerabilidades en los sistemas de entretenimiento doméstico de los consumidores. Es un ejemplo de por qué es fundamental estar al tanto de la seguridad del IoT.
Los dispositivos IoT inseguros son vulnerables
Los dispositivos IoT son especialmente vulnerables a los ataques porque a menudo no están protegidos. Los hackers pueden explotar esas vulnerabilidades y, en el caso de los ataques a empresas, interrumpir las operaciones comerciales. Una incursión podría paralizar una línea de fabricación, por ejemplo, o hacer que las empresas tengan que cerrar alguna función crítica para evitar más daños cuando un ataque está en marcha.
En el pasado, las bandas de ransomware se han dirigido principalmente a los equipos informáticos, pero a medida que proliferan los dispositivos IoT, su valor como vector de ataque aumenta. El jefe de investigación de seguridad de Vedere Labs, Daniel dos Santos, declaró a The Register que más del 50% del total de dispositivos en las redes empresariacree que sólo faltan uno o dos años para que los dispositivos IoT representenles y se conviertan en un objetivo principal.
En los primeros días del ransomware, los malos actores generalmente intentaban un enfoque disperso en el que distribuían medios físicos que infectaban las máquinas cuando se insertaban o instalaban, o enviaban correos electrónicos con la esperanza de distribuir el ransomware a través de un ataque de phishing. A medida que estos ataques se han vuelto más sofisticados, los piratas informáticos han mejorado a la hora de dirigirse a vulnerabilidades específicas de los sistemas empresariales. Si los administradores no se aseguran de que las redes IoT y los dispositivos que despliegan están actualizados, sus vulnerabilidades pueden abrir una puerta trasera que invite a la incursión.
Cómo evoluciona el ransomware
Cuando surgieron los primeros ataques de ransomware, solían seguir una serie de pasos sencillos. El pirata informático entraba en el sistema objetivo, encriptando todos los archivos para que el administrador del sistema no pudiera acceder a ellos y, a continuación, exigía un pago para restaurar todo a su estado original. Cuando estos ataques surgieron por primera vez en 1989, se propagaban generalmente de forma manual: la gente tenía que insertar literalmente un disquete con el código del ransomware en el ordenador para infectar el sistema.
En 2005, los hackers empezaron a utilizar el correo electrónico para propagar los ataques de ransomware. Sin embargo, a medida que más sistemas y dispositivos se conectan a través de Internet, los ataques han evolucionado para utilizar otras vías, incluso a través de dispositivos móviles y del IoT.
Sin embargo, a medida que esta forma de piratería se ha ido extendiendo y sofisticando, los ataques de ransomware se están convirtiendo en un proceso de extorsión de múltiples capas. Todavía puede comenzar con archivos cifrados, pero ahora las bandas de ransomware van más allá de esa primera capa de cifrado y amenazan con filtrar datos -incluyendo información privada de clientes o consumidores- del sistema comprometido. En algunos casos, incluso amenazan con acosar a los clientes u otras partes interesadas de la organización atacada.
Las empresas de Estados Unidos son las más atacadas -el 29% de los ataques de ransomware afectan a organizaciones estadounidenses-, mientras que Japón es el segundo país más atacado (representa aproximadamente el 9% de los ataques). Estos ataques tienen un coste económico muy real para las empresas afectadas: se espera que la ciberdelincuencia cueste a las empresas 6 billones de dólares al año en todo el mundo para 2021.
Por qué el ransomware de IoT puede ser especialmente peligroso
En 2015, Symantec publicó un informe en el que advertía de que sus investigadores esperaban que el ransomware de IoT fuera el siguiente lugar en el que se centrarían los hackers. Hicieron saltar las alarmas sobre exactamente el tipo de problemas que el ataque de prueba de concepto de Forescout puso de manifiesto: Que los dispositivos IoT mal protegidos podrían ser secuestrados y utilizados para controlar cualquier cosa, desde una cerradura inteligente o un termostato en el hogar de alguien hasta dispositivos médicos IoT o dispositivos que forman parte de la infraestructura de la ciudad inteligente. En este último caso, un ataque podría afectar a las redes de transporte público, a los monitores de seguridad pública o a la distribución de gas y electricidad en una zona urbana.
Desgraciadamente, esas preocupaciones han demostrado ser fundadas. En mayo de 2021, un ataque de ransomware a Colonial Pipeline obligó a la empresa a cerrar un importante oleoducto de combustible de la Costa Este hasta que la empresa pagó unos 4,4 millones de dólares para recuperar el control de su infraestructura. El ataque puso de manifiesto la vulnerabilidad de las infraestructuras críticas, que a menudo ejecutan sistemas complejos y heredados que pueden no estar recibiendo las actualizaciones necesarias de manera oportuna.
Dado que los dispositivos IoT participan ahora en el control de las redes eléctricas, las operaciones de fabricación y otras infraestructuras a gran escala, son un objetivo más convincente para los hackers que intentan causar un impacto públicamente visible. Con la proliferación de plataformas de ransomware como servicio (RaaS), los atacantes pueden aprovechar las herramientas descentralizadas para infligir daños con aún menos esfuerzo. Disponer de un plan de mitigación de estos ataques es fundamental para las empresas que trabajan en el IoT.
Pasos para prevenir y mitigar los ataques de ransomware de IoT
Mejorar la seguridad del IoT puede ayudar a prevenir los ataques de ransomware antes de que se produzcan y a mitigar los daños en caso de que uno llegue a su sistema. Una buena seguridad del IoT puede proteger no sólo contra los ataques de ransomware, sino también contra otros ataques de malware.
Los ataques a dispositivos IoT a menudo aprovechan vulnerabilidades conocidas que no han sido parcheadas o abordadas. La forma más sencilla de proteger sus sistemas contra el malware, incluido el ransomware, es asegurarse de que todos los dispositivos IoT, el software y otro hardware de sus redes estén totalmente actualizados. Supervisar el tráfico de los dispositivos IoT es otra forma de proteger sus activos. Si observa un tráfico o un consumo de ancho de banda inusual, podrá abordarlo rápidamente, deteniendo potencialmente un ataque antes de que se produzca.
Los dispositivos IoT también se instalan a menudo con contraseñas por defecto, lo que puede dejarlos vulnerables a los ataques. Actualizar esas contraseñas como parte de un procedimiento operativo estándar es una forma sencilla de proteger la red en general.
Una política de control de contraseñas bien gestionada para todos los que tienen acceso al sistema es otra forma de mantener la seguridad alta una vez que se cambian las contraseñas por defecto. Los expertos en seguridad de Symantec informan de que sólo el 3% de los programas maliciosos aprovechan los fallos técnicos, y que el 97% utiliza esquemas de ingeniería social para entrar en los sistemas utilizando la información que las personas entregan inadvertidamente a los malos actores. Los seres humanos son fáciles de manipular socialmente, y crear estructuras que reduzcan ese riesgo puede ser útil.
Una opción de mitigación es disponer de protocolos secundarios en caso de que los sistemas primarios se vean comprometidos y tengan que ser desconectados. Esto es especialmente importante en el caso de las infraestructuras críticas, como los servicios públicos o las redes de transporte, pero puede ser igualmente clave, por ejemplo, en una gran operación de fabricación en la que incluso un breve cierre aumentará los costes y retrasará los envíos a los clientes.
En este panorama de seguridad tan cambiante, tener un plan para detectar, abordar y cerrar un ataque de ransomware de IoT ya no es opcional, sino una necesidad. La plataforma IoT de Soracom ofrece una serie de opciones para ayudar a proteger su red IoT del malware y de los malos actores. Desde herramientas de redes privadas como Soracom Canal y Soracom Door, hasta herramientas de aprovisionamiento seguro como Soracom Krypton, Soracom puede ayudar a diseñar una solución segura que se adapte a su implementación.
(Soracom)
Defenderse de los ataques de ransomware es esencial para la seguridad del IoT
07/07/22- 2029