El equipo Red Team de Mandiant realiza pruebas contra servidores OT para imitar las técnicas de un conocido grupo criminal

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 
Los investigadores no tienen constancia de que haya actores con motivación económica que utilicen estas técnicas en la práctica.

 

Resumen:

  • Los investigadores del equipo rojo de Mandiant lograron vulnerar los servidores de tecnología operativa de una organización de ingeniería con sede en Europa emulando las técnicas del conocido actor de ciberdelincuencia FIN11, según una publicación del blog de Mandiant.
  • En el pasado, Mandiant destacó los esfuerzos de los atacantes por motivos financieros para ampliar su alcance en el ámbito de la tecnología operativa. Las listas de procesos se diseñaron para amplificar los efectos de cepas conocidas de ransomware.
  • Algunos de los atacantes con motivación económica están emulando las habilidades de los actores patrocinados por el Estado a través de tácticas, técnicas y procedimientos, dijo Mandiant. Por ejemplo, las técnicas de ataque industrial empleadas por Triton e Industroyer fueron utilizadas por actores que van desde FIN11 hasta FIN6 durante el despliegue de ransomware, extorsión y otras actividades.

Opinión sobre la operación:

  • Mandiant utilizó el red team para llevar a cabo una seguridad proactiva para los proveedores de infraestructuras críticas y los entornos de OT, donde los sistemas deben estar protegidos de los ataques maliciosos con el fin de proteger las futuras capacidades de producción.
  • "En otras palabras, para defenderse de las técnicas en evolución de los atacantes, tenemos que pensar como ellos e identificar las brechas de seguridad antes de que lo haga el atacante", dijo Daniel Zafra, director senior de análisis de inteligencia de Mandiant, por correo electrónico.
  • FireEye Mandiant exploró originalmente el vínculo entre actores con motivación financiera y OT en julio de 2020, cuando los investigadores encontraron procesos de kill lists desplegados junto a siete familias diferentes de ransomware, incluyendo DoppelPaymer, LockerGoga, Maze, MegaCortex, Nefilim y Snakehose. La segunda lista de bloqueo se desplegó junto con el ransomware Clop.
  • La kill list que acompañaba a la muestra de Clop se atribuía a FIN11. Los investigadores dijeron que los atacantes monetizaron la operación utilizando malware de punto de venta, ransomware Clop y extorsión.
  • Los investigadores de Mandiant no tienen constancia de que haya delincuentes con motivación económica que utilicen estas técnicas en la práctica.
  • La investigación se produce en un período de mayor concienciación sobre los riesgos para los entornos de OT, ya que los atacantes de los estados-nación y los grupos de amenazas con motivación criminal han atacado o desarrollado técnicas sofisticadas para ir tras varios proveedores de la industria crítica o sitios industriales.

Fuente: https://www.cybersecuritydive.com/news/mandiant-red-team-breach-OT/628295/

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Search