Nuevo Malware Amenaza Procesos de Ingeniería Críticos en Sistemas de Control Industrial

Forescout Research ha identificado una creciente amenaza que se dirige a las estaciones de trabajo de ingeniería en tecnología operativa (OT) y sistemas de control industrial (ICS).

El análisis, publicado el martes, destaca cómo el malware dirigido a estas estaciones de trabajo es cada vez más común.

La investigación se centró en el malware encontrado en VirusTotal, que incluyó incidentes que involucraban la estación de trabajo de ingeniería de Mitsubishi infectada con el gusano Ramnit, así como un nuevo malware experimental conocido como Chaya_003, que interrumpe los procesos de ingeniería de Siemens.

El malware específico para OT, aunque menos prevalente que los ataques a software empresarial o sistemas operativos móviles, es una preocupación significativa para los operadores de seguridad en entornos industriales.

Las estaciones de trabajo de ingeniería, que desempeñan un papel central en el control y monitoreo de la infraestructura crítica, son objetivos principales para este tipo de ataques. Un informe del Instituto SANS identificó el compromiso de las estaciones de trabajo de ingeniería como un vector de ataque principal, responsable de más del 20% de los incidentes del sistema OT.

El análisis de Forescout se centró en el malware que se dirige a las estaciones de trabajo de ingeniería, que ejecutan tanto sistemas operativos tradicionales como Windows y software de ingeniería especializado, como Siemens TIA Portal y Mitsubishi GX Works.

La investigación encontró dos grupos principales de malware que apuntaron a estas estaciones de trabajo. En un caso, los ejecutables de Mitsubishi GX Works fueron infectados con el gusano Ramnit en dos incidentes separados. El segundo involucró tres muestras de una nueva variante de malware, Chaya_003, que fue diseñada específicamente para terminar los procesos de ingeniería de Siemens.

Ramnit, una cepa de malware inicialmente conocida por apuntar a las credenciales bancarias, ha evolucionado hasta convertirse en una plataforma más sofisticada capaz de infectar sistemas OT. Los hallazgos recientes de Forescout muestran que Ramnit sigue siendo una amenaza persistente para las redes OT.

El malware puede propagarse a través de dispositivos físicos comprometidos como unidades USB o sistemas de red mal asegurados. Aunque el vector específico de estas infecciones sigue siendo incierto, es evidente que el malware continúa afectando a los entornos OT.

Chaya_003, por otro lado, representa una amenaza nueva y en evolución. La funcionalidad principal del malware incluye la terminación de procesos de ingeniería críticos. Su diseño sugiere intentos deliberados de enmascararse como procesos del sistema legítimos para evitar la detección del software de seguridad.

Forescout afirma que el malware se entrega a través de una infraestructura de comando y control (C2) que se basa en servicios legítimos como los webhooks de Discord, lo que dificulta su detección.

La investigación subraya la importancia de asegurar las estaciones de trabajo de ingeniería para prevenir este tipo de ataques. Las recomendaciones incluyen actualizar el software regularmente, implementar una protección robusta de los puntos finales y segmentar las redes para limitar el acceso a sistemas críticos.

El creciente refinamiento de estos ataques, impulsado por la disponibilidad de herramientas de IA generativas, destaca la necesidad de medidas de seguridad proactivas en el sector OT.

La investigación de Forescout también advierte que a medida que el malware dirigido a procesos de ingeniería se vuelve más accesible, la línea entre atacantes menos hábiles y más avanzados continúa difuminándose, lo que dificulta la distinción entre amenazas simples y altamente sofisticadas.