La Agencia de Seguridad e Infraestructura de Ciberseguridad de EE. UU. (CISA) advirtió el jueves sobre los continuos ataques de ransomware destinados a interrumpir las instalaciones de agua y aguas residuales (WWS), destacando cinco incidentes que ocurrieron entre marzo de 2019 y agosto de 2021.

«Esta actividad, que incluye intentos de comprometer la integridad del sistema a través del acceso no autorizado, amenaza la capacidad de las instalaciones de WWS para proporcionar agua potable limpia y gestionar eficazmente las aguas residuales de sus comunidades», CISA, junto con la Oficina Federal de Investigaciones ( FBI), la Agencia de Protección Ambiental (EPA) y la Agencia de Seguridad Nacional (NSA), dijeron en un boletín conjunto.

Citando el spear-phishing, los sistemas operativos y el software obsoletos, y los dispositivos del sistema de control que ejecutan versiones de firmware vulnerables como los principales vectores de intrusión, las agencias destacaron cinco ciberataques diferentes desde 2019 hasta principios de 2021 dirigidos al sector WWS:

  • Un ex empleado de las instalaciones de WWS con sede en Kansas intentó sin éxito acceder de forma remota a la computadora de una instalación en marzo de 2019 utilizando credenciales que no habían sido revocadas.
  • Compromiso de archivos y posible ransomware Makop observado en una instalación de WWS con sede en Nueva Jersey en septiembre de 2020
  • Una variante de ransomware desconocida desplegada contra una instalación de WWS con sede en Nevada en marzo de 2021
  • Presentación del ransomware ZuCaNo en la computadora SCADA de aguas residuales de una instalación de WWS con sede en Maine en julio de 2021
  • Un ataque de ransomware variante de Ghost contra una instalación de WWS con sede en California en agosto de 2021

El aviso es notable a raíz de un ataque en febrero de 2021 en una instalación de tratamiento de agua en Oldsmar, donde un intruso irrumpió en un sistema informático y cambió de forma remota una configuración que alteró drásticamente los niveles de hidróxido de sodio (NaOH) en el suministro de agua, antes de que ocurriera. fue detectado por un operador de la planta, quien rápidamente tomó medidas para revertir el comando emitido de forma remota.Además de requerir autenticación multifactor para todo acceso remoto a la red de tecnología operativa (OT), las agencias han instado a las instalaciones de WWS a limitar el acceso remoto solo a los usuarios relevantes, implementar la segmentación de la red entre las redes de TI y OT para evitar el movimiento lateral, y incorporar capacidades de conmutación por error a sistemas de control alternativos en caso de un ataque.

Fuente y redacción: thehackernews.com

Compartir