Crear panel personalizado
EspañaInstituto Nacional de Ciberseguridad (INCIBE)Publicaciones 533205

Fuxnet: el malware que paralizó sistemas SCI

Resumen autogenerado por OpenAI

Audios generados (reproducción automática)

Los audios se reproducen de forma automática uno detrás de otro. Haz clic en el icono para descargar el audio o aumentar/disminuir la velocidad de reproducción.
Debido al tamaño del artículo, la generación del audio puede tardar unos segundos y es posible que se generen varios audios para un mismo artículo.

En los últimos años, el sector industrial ha enfrentado una creciente amenaza de ciberataques. Estos ataques van más allá de simples intrusiones digitales, ya que tienen el potencial de interrumpir el suministro de servicios básicos, como electricidad y agua, además de paralizar por completo las operaciones de una empresa. Incluso una interrupción breve puede tener consecuencias devastadoras, lo que resalta la necesidad urgente de fortalecer la ciberseguridad en el ámbito industrial.

Es importante destacar que llevar a cabo estos ciberataques se ha vuelto cada vez más difícil. Muchas de estas infraestructuras no están directamente conectadas a Internet, lo que se conoce como 'seguridad por oscuridad', o tienen conexiones externas que están muy bien securizadas y controladas.

En los últimos días, el grupo de hackers Blackjack hizo pública la información del ciberataque que realizó con el malware Fuxnet contra la empresa Moscollector. Esta empresa tiene su sede en Moscú y se encarga de la construcción y la vigilancia de redes subterráneas, infraestructuras de agua, alcantarillado y comunicaciones. Fuxnet es una evolución del famoso malware Stuxnet.

Por la información proporcionada por Blackjack, deducimos que el malware probablemente se implementó de forma remota. Una vez desplegado, sus objetivos eran los siguientes:

  • Bloquear los dispositivos. Esto se logra cerrando servicios de acceso remoto, como ssh, http, telnet y SNMP. De esta manera, se vuelve imposible detener el ataque de forma remota. 
  • Destruir archivos y directorios importantes. Los atacantes eliminaron servidores, estaciones de trabajo y bases de datos, llegando a eliminar 30 TB de datos. Además, eliminaron la tabla de enrutamiento para dejar inoperable su capacidad para comunicarse con otros dispositivos. También, consiguieron hacerse con información sensible de las bases de datos.
Imagen del artículo Fuxnet: el malware que paralizó sistemas SCI

Estas imágenes pertenecen a Blog

- Información volcada de bases de datos. Fuente. -

  • Destruir memorias NAND. La memoria flash NAND es un tipo de memoria utilizada en una gran variedad de dispositivos, incluyendo ordenadores y móviles. A diferencia de otras formas de almacenamiento, la memoria NAND no requiere corriente continua para conservar los datos, lo que la hace altamente popular por su facilidad de reprogramación y bajo costo por terabyte de almacenamiento. Sin embargo, presenta un inconveniente significativo y es que tiene un número limitado de ciclos de escritura. Fuxnet aprovecha esta vulnerabilidad al reescribir repetidamente la memoria NAND hasta que se deteriore por completo, dejando el chip inutilizable.
  • Destruir el volumen UBI. Esto se hace para evitar que el sensor se reinicie. Esto se consigue reescribiendo el volumen UBI. Este volumen espera a que se le pase un número determinado de bytes, pero el malware le pasa un número menor de lo que espera haciendo que el dispositivo espere de forma indefinida a que finalice.
  • Denegación del servicio de monitorización. Los datos de monitorización son registrados por sensores conectados a la puerta de enlace a través del canal RS485/Meter-Bus. Fuxnet escribe repetidamente datos aleatorios en el canal Meter-Bus impidiendo que los sensores y la puerta de enlace envíen y reciban datos.
Imagen del artículo Fuxnet: el malware que paralizó sistemas SCI

Estas imágenes pertenecen a Blog

- Diagrama funcionamiento Meter-Bus. Fuente. -

Blackjack afirma haber comprometido 87.000 dispositivos, pero en base al punto anterior, se asume que en realidad solo infectaron las puertas de enlace de los sensores e intentaron causar más daños inundando el canal Meter-Bus que conecta los diferentes sensores a la puerta de enlace. Esto resultó en la inutilización de las puertas de enlace y no de los sensores finales.

El alcance del ataque fue muy amplio, afectando a los sensores y comprometiendo las puertas de enlace de sensores, enrutadores, software de gestión (paquete de software SBKManager) y el sistema de monitorización de sensores.

Un ataque a un servicio esencial puede causar una amplia gama de daños, que van desde interrupciones en la prestación de servicios, hasta situaciones de emergencia y peligro para la vida de las personas. Por ejemplo, en el caso de hospitales, un ataque cibernético puede paralizar sistemas críticos como los de gestión de pacientes, registros médicos electrónicos o equipos médicos conectados a la red, lo que podría retrasar o impedir el acceso a la atención médica necesaria. En el caso de aeropuertos, un ataque podría interferir con los sistemas de control de tráfico aéreo, provocar cancelaciones de vuelos, e incluso poner en riesgo la seguridad de los pasajeros y la tripulación. En resumen, los daños de un ataque a un servicio esencial pueden ser altamente significativos y tener repercusiones graves en la seguridad física o salud de las personas y en la sociedad en general.

Para prevenir este tipo de ataques, se pueden implementar varias contramedidas, entre las que se incluyen:

  • Segmentación de redes (M0930 de MITRE ATT&CK ICS Mitigations): dividir la red en segmentos más pequeños y restringir el acceso entre ellos puede limitar la propagación del malware en caso de una intrusión.
  • Firewalls y filtrado de paquetes (M0937 de MITRE ATT&CK ICS Mitigations): configurar firewalls para controlar y filtrar el tráfico de red entrante y saliente puede ayudar a bloquear actividades maliciosas.
  • Autenticación fuerte (M0804 y M0932 de MITRE ATT&CK ICS Mitigations): implementar medidas de autenticación robustas, como contraseñas seguras y autenticación de múltiples factores, puede evitar que los atacantes accedan a sistemas y dispositivos de manera no autorizada.
  • Monitorización de red: utilizar herramientas de monitorización de red para detectar actividad sospechosa y comportamientos anómalos puede ayudar a identificar y mitigar rápidamente posibles ataques.
Imagen del artículo Fuxnet: el malware que paralizó sistemas SCI

Estas imágenes pertenecen a Blog

- Monitorización de red. Fuente. -

  • Formación y concienciación del personal: capacitar al personal en prácticas de seguridad cibernética y concienciarlos sobre los riesgos asociados con el phishing, la ingeniería social y otras tácticas de ataque puede reducir la probabilidad de éxito de los ataques dirigidos al factor humano.
  • Respuesta ante incidentes: desarrollar y practicar planes de respuesta ante incidentes puede ayudar a minimizar el tiempo de inactividad y reducir el impacto en caso de un ataque exitoso.

Implementando estas contramedidas, junto con una estrategia de defensa en profundidad, las organizaciones pueden fortalecer su postura de seguridad y reducir significativamente el riesgo de ser víctimas de ataques como el mencionado.

Conclusión

El caso del malware Fuxnet destaca la sofisticación y el potencial devastador de los ciberataques dirigidos a infraestructuras críticas. Este artículo ha subrayado la importancia de comprender las tácticas y objetivos de tales amenazas, así como la necesidad urgente de fortalecer la ciberseguridad en el ámbito industrial. Con el conocimiento obtenido al estudiar los ciberincidentes ocurridos en el pasado y adoptar medidas preventivas y proactivas, las organizaciones pueden mejorar su capacidad para detectar, contener y mitigar los impactos de futuros ataques similares.

Fecha de publicación
flag thumbnail image
Instituto Nacional de Ciberseguridad (INCIBE)
Administración Pública
Publicaciones
Categoría
Acciones
Compartir
Tags
© 2023 GovClipping by Ofifacil
533205 {"title":"Fuxnet: el malware que paralizó sistemas SCI","published_date":"2024-09-26","region":"incibe","region_text":"Instituto Nacional de Ciberseguridad (INCIBE)","category":"documents","category_text":"Publicaciones","image":"https:\/\/www.incibe.es\/sites\/default\/files\/2024-09\/Portada_Fuxnet.png","id":"533205"} incibe Amenaza;Antivirus;Blog;Cibercrimen;IDS;Infraestructura crítica;IPS;Linux;Malware;Protocolo industrial;Sistemas de control industrial;vulnerabilidad;Wireless https://govclipping.com/modules/controller/ReferencesController.php Resaltar Quitar resaltado false https://govclipping.com/modules/controller/ArticlesController.php https://govclipping.com/modules/controller/SubsidyController.php https://govclipping.com/modules/controller/UserDatasetActionsController.php https://govclipping.com/search https://govclipping.com/search?keywords= Error "" region subsidy initiative Error Ha habido un error: {error}. Inténtalo de nuevo más tarde. Éxito La operación se ha realizado correctamente. Elemento guardado en la lista El elemento ha sido modificado Elemento eliminado de la lista Guardar para leer más tarde Aceptar Cancelar No se han encontrado artículos adicionales. https://govclipping.com/modules/controller/NewslettersController.php ¡Suscripción realizada! Te has suscrito correctamente a la newsletter de GovClipping. Algo salió mal No ha sido posible suscribirte a la newsletter. Vuelve a introducir tu email o inténtalo de nuevo más tarde. Error No se ha podido enviar la alerta de prueba a tu correo electrónico {email}. Inténtalo de nuevo más tarde. Alerta de prueba enviada Se ha enviado una alerta de prueba únicamente a tu email {email}. Revisa tu carpeta de Spam y añade @govclipping.com a tu lista de contactos. Enviar email de prueba Se enviará un email de prueba únicamente al correo electrónico de esta cuenta. Si no lo recibes, revisa tu carpeta de Spam. Enviar a todos los destinatarios Se enviará el correo electrónico a todos los destinatarios. Si no lo reciben, revisen su carpeta de Spam. Error No se ha podido enviar el correo electrónico a todos o algunos de los destinatarios. Inténtalo de nuevo más tarde. Correo electrónico enviado Se ha enviado el correo electrónico a todos los destinatarios. Revisen su carpeta de Spam y añadan @govclipping.com a su lista de contactos. Este contenido está disponible para usuarios premium Mejora tu cuenta para desbloquear y acceder todo el contenido premium sin restricciones. Consulta todas las ventajas de ser Premium en Planes de suscripción. Mejora tu cuenta https://govclipping.com/pricing Enlace copiado en portapapeles. Tu cuenta no está asociada a un Organización. Únete a uno o actualiza tu suscripción para crear tu propia Organización. https://govclipping.com/es/incibe/documents/2024-09-26/533205-fuxnet-malware-paralizo-sistemas-sci https://govclipping.com/signup https://govclipping.com/modules/controller/UserController.php Sector económico actualizado! El sector económico de tu perfil ha sido actualizado correctamente. Error Por algún motivo no hemos podido tramitar la petición. Vuelve a intentarlo más tarde.