Kaspersky Lab ha alertado del problema que supone las herramientas de administración en remoto (RAT) para las redes industriales que no se contralan adecuadamente y son utilizadas por los cibercriminales para lanzar sus ataques.
La investigación de Kaspersky Lab señala que están instaladas en el 31,6 % de los equipos de sistemas de control industrial (ICS) pero a menudo pasan desapercibidas para los equipos de seguridad. En uno de cada cinco casos se incluyen por defecto en el software ICS. Esto las hace menos visibles para los administradores de sistemas y, en consecuencia, más atractivas para los actores de amenazas.
Los ciberdelincuentes utilizan las RAT para obtener acceso no autorizado a la red objetivo, infectar la red con malware para llevar a cabo acciones de espionaje, sabotaje y hacerse ilegalmente con ganancias realizando operaciones de ransomware o accediendo a activos financieros a través de las redes atacadas.
La amenaza más importante planteada por las RAT es su capacidad de obtener privilegios en el sistema atacado. En la práctica, significa obtener control ilimitado sobre una empresa industrial, lo que puede ocasionar importantes pérdidas financieras, así como desastres físicas.
“El número de ICS con RAT es bastante preocupante, y muchas organizaciones ni siquieran sospechan lo grande que es el riesgo potencial asociado a las RAT.Su presencia en una red debe ser tratada con cuidado, sobre todo en redes ICS, que a menudo son parte de instalaciones de infraestructuras críticas”, destaca Kirill Kruglov, analista senior de segurudad de Kaspersky Lab ICS CERT.
Para reducir el riesgo de los ciberataques usando las RAT, la empresa recomienda auditar el uso de las herramientas de administración remota de aplicaciones y sistemas utilizados en la red industrial; desactivar las herramientas que no sean requeridas por el proceso industrial; y monitorizar de cerca y registrar eventos para cada sesión de control remoto demandada por el proceso industrial. Además aconseja deshabilitar el acceso remoto a estas herramientas de manera predeterminada y habilitarlas solo bajo petición y solo por periodos de tiempo limitados.
