9 veces en las que los piratas informáticos atacaron cibernéticamente instalaciones industriales

Los ciberataques a las instalaciones industriales tienen consecuencias de largo alcance. Los actores de amenazas a menudo se dirigen a los sistemas de control industrial (ICS) para llevar a cabo estos ataques, lo que resulta en cierre total o parcial de la operación de instalaciones críticas, pérdida financiera, robo de datos y problemas de salud riesgos

Para dar una idea del tamaño de estos ataques, estos son algunos de los mayores ciberataques a instalaciones industriales en los últimos tiempos que causaron problemas a instalaciones gubernamentales y no gubernamentales.

1. Oleoducto colonial: ataque de ransomware

En mayo de 2021, un ataque de ransomware se dirigió a Colonial Pipeline Inc. en los EE. UU., lo que provocó que la instalación se detuviera por completo durante unos días. Esto provocó una aguda escasez de combustible y los precios se dispararon por las nubes.

Los piratas informáticos accedieron a la red de la empresa a través de una red inactiva red privada virtual (VPN) cuenta que tenía acceso remoto a la red informática de la empresa. La empresa tuvo que pagar un rescate de 4,4 millones de dólares al grupo de hackers DarkSide a cambio de la herramienta de descifrado para restaurar su red informática.

2. Corporación CPC Taiwán: ransomware

En mayo de 2020, la compañía estatal de petróleo y gas natural de Taiwán, CPC Corp, vio cómo su sistema de pago se paralizaba por un ataque de ransomware.

Los actores de amenazas utilizaron una unidad flash USB para infectar la red informática de la empresa. Aunque no afectó la producción de petróleo, llevó al caos al sistema de tarjetas de pago de CPC Corp. A Winnti Umbrella, un grupo vinculado a China conocido por apuntar a compañías de software y organizaciones políticas, se le atribuye el ataque.

Relacionado: ¿Qué es el ransomware y cómo se puede eliminar?

Si bien la declaración oficial de la compañía no mencionó inicialmente el ransomware, más tarde, un reporte de investigación por la Oficina de Investigación del Ministerio de Justicia confirmó lo mismo en un comunicado de explicación.

3. Tritón (2017)—Malware

FireEye, una empresa de ciberseguridad, reveló un ataque de malware altamente sofisticado destinado a atacar los sistemas de control industrial y causar daños físicos a la infraestructura crítica. El código malicioso se entregó a través de un ataque de spear-phishing.

Según la firma de ciberseguridad, el ataque fue apoyado por un instituto de investigación técnica con sede en Moscú, el Instituto Central de Investigación Científica de Química y Mecánica (CNIIHM).

Si bien no se ha revelado la ubicación o los objetivos del ataque, parece haber afectado una instalación industrial crítica en el Medio Oriente. Debido a la naturaleza del ataque que toma el control del sistema de instrumentos de seguridad de la instalación, podría haber causado una explosión o liberación de gas tóxico que resulte en la pérdida de vidas.

4. Hack de red eléctrica de Ucrania: troyano

En la noche del 23 de diciembre de 2015, el cursor en la pantalla de la computadora del operador de la red comenzó a moverse por sí solo. Los piratas informáticos habían atacado a la empresa distribuidora de energía Prykarpattyaoblenergo en Ucrania, desactivando un interruptor automático tras otro.

Fue un ciberataque único en su tipo en una red eléctrica ejecutado con éxito. Poco después, la mitad de la población de la región ucraniana de Ivano-Frankivsk estuvo a oscuras sin electricidad durante hasta seis horas. Si bien la energía se restableció en unas pocas horas, todos los centros de control tardaron meses en volver a estar completamente operativos.

Relacionado: ¿Qué es un troyano de acceso remoto?

Este fue un ataque cibernético altamente sofisticado que involucró múltiples pasos ejecutados a la perfección después de meses de planificación. En primer lugar, los actores de amenazas utilizaron el método de phishing dirigido para atacar al personal de TI de la empresa por correo electrónico y entregar el malware BlackEnergy disfrazado como un documento de Microsoft Word.

Una vez dentro, el troyano abrió una puerta trasera para que los piratas informáticos accedieran de forma remota. Lo que siguió fue la incautación de la arquitectura del sistema de control, la desactivación de la fuente de alimentación de respaldo, el ataque DDoS para retrasar las actualizaciones de estado a los consumidores y la destrucción de los archivos almacenados en los servidores.

El ataque se atribuye a un grupo de piratería ruso, Sandworm, que supuestamente forma parte del grupo cibermilitar del país.

5. Hack MUNI de San Francisco: ransomware

En noviembre de 2016, el sistema de tren ligero MUNI de San Francisco comenzó a ofrecer viajes gratis. No, no fue un gesto de buena voluntad. En cambio, un ataque de ransomware obligó al sistema de emisión de boletos a desconectarse como medida preventiva para proteger los datos de los usuarios.

Los actores de amenazas exigieron 100 Bitcoins ($ 73,000 en ese momento) como rescate para restaurar el sistema. Afortunadamente, la agencia ferroviaria contaba con un sistema de respaldo del sistema. Usó datos de respaldo para restaurar la mayor parte del sistema afectado en los próximos días, minimizando el impacto del ataque.

Si bien la agencia ferroviaria se negó a pagar el rescate, según los informes, perdió hasta $ 50,000 en tarifas no cobradas cuando los sistemas se recuperaron del ataque.

6. Shamoon: malware

En 2012, en uno de los mayores ciberataques a instalaciones industriales, el gigante petrolero Saudi Aramco se convirtió en el objetivo de un ataque de malware. El ataque fue llevado a cabo por un grupo llamado Sword of Justice con el objetivo de paralizar la red informática interna del gigante petrolero.

Shamoon, un malware informático modular, se transmitió a través de un correo electrónico fraudulento a un empleado de la empresa. Este virus informático modular apuntó a la versión del kernel NT de 32 bits de Microsoft Windows, acabando con casi 35.000 equipos en cuestión de horas.

Aunque tardó dos semanas en contener la propagación, el malware no logró cerrar el flujo completo de petróleo y no logró alcanzar su objetivo por completo.

7. Stuxnet: gusano

Promocionado como la primera arma digital del mundo, Stuxnet fue un gusano informático supuestamente desarrollado por la NSA (Agencia de Seguridad Nacional) de EE. UU. y la inteligencia israelí para atacar las instalaciones nucleares de Irán. A diferencia de todo lo anterior, fue capaz de paralizar el hardware quemándose.

El hack se detectó cuando los inspectores de la Agencia Internacional de Energía Atómica, en una visita a un uranio planta de enriquecimiento en Irán, notó una tasa inusual de fallas en los dispositivos centrífugos esenciales para enriquecer uranio gas.

Si bien se informó que el gusano Stuxnet fue diseñado para expirar en junio de 2012, otro malware basado en sus características continúa causando estragos en otras instalaciones industriales en todo el mundo.

8. Llamas: software malicioso

En mayo de 2012, el Centro del Equipo Nacional de Respuesta a Emergencias Informáticas de Irán (CERT) descubrió un malware informático modular denominado Viper. Más tarde, una empresa de investigación de seguridad cibernética con sede en Rusia, Kaspersky, lo llamó Flame en honor a un módulo dentro del código malicioso.

Al igual que Stuxnet, también se dice que Flame es una herramienta de guerra cibernética respaldada por un estado extranjero dirigida a la infraestructura industrial de Irán y otros países del Medio Oriente. A diferencia del primero que fue diseñado para atacar sistemas de control industrial, Flame es un gusano de ciberespionaje que borra información sensible de los equipos infectados.

Otras características del gusano incluyen la capacidad de activar el micrófono interno del sistema infectado y grabar conversaciones de Skype, convertir un dispositivo habilitado para Bluetooth en una baliza Bluetooth para eliminar la información de contacto de los dispositivos cercanos, y la capacidad de tomar capturas de pantalla de las actividades en un computadora.

A pesar de los esfuerzos, los investigadores no lograron identificar el origen del malware. Y el hecho de que los actores de amenazas fueran lo suficientemente inteligentes como para estropear la fecha de compilación de cada módulo hizo que la tarea se volviera aún más difícil.

9. Ataque a la presa de Bowman Avenue

En 2013, la presa de Bowman Avenue en Rye Brook fue atacada por piratas informáticos iraníes. Algunos funcionarios creen que este ataque fue una represalia por el ataque masivo de Stuxnet.

El hacker irrumpió en el sistema SCADA (Control de Supervisión y Adquisición de Datos) de la represa de Nueva York al explotar una conexión de módem vulnerable.

Si bien existen múltiples teorías detrás de la intención del ataque, los piratas informáticos no habrían sido pudo hacer ningún daño en ese momento porque la compuerta había sido desconectada manualmente por mantenimiento.

Después de la investigación, el FBI había publicado los nombres de los siete piratas informáticos con sede en Irán acusados ​​​​de conspiración para cometer una intrusión informática.

Los sectores de la industria están en alto riesgo de ataques cibernéticos destructivos

Los actores de amenazas están cambiando cada vez más su enfoque de la tecnología de la información a la tecnología operativa. Esto pone a la infraestructura industrial crítica propiedad del estado y de entidades privadas en alto riesgo de ataques cibernéticos destructivos que pueden causar la pérdida de vidas y daños económicos severos.

Como era de esperar, los gobiernos de todo el mundo están instando a las entidades privadas a fortalecer las defensas de infraestructura crítica, mientras toman medidas para mejorar la seguridad cibernética nacional.

Los 8 ataques de malware más notorios de todos los tiempos

El conocimiento es su primera línea de defensa, por lo que estos son algunos de los peores virus que debe conocer, incluidos troyanos, gusanos y ransomware.

Leer siguiente

Sobre el Autor