Tras la invasión rusa de Ucrania, la ciberamenazas dirigidas a las infraestructuras críticas han aumentado. Simultáneamente, los ciberdelincuentes han ampliado sus objetivos, especialmente para la Países europeos que han prestado ayuda a Ucrania.
Recordando, en primer lugar, que el mes de febrero estuvo marcado por una serie de ciberataques a empresas. A varios proveedores, instalaciones o sistemas de la cadena de suministro. Todo con el objetivo de causar el mayor daño posible.
S21sec arroja nueva luz sobre el conflicto entre Rusia y Ucrania
A S21segla empresa líder en servicios de ciberseguridad, ha elaborado su informe bianual, Threat Landscape Report. Solicita que analiza la evolución de la ciberdelincuencia durante el primer semestre de 2022.
El informe ofrece una visión general de las amenazas más relevantes en el primer semestre de 2022 y es especialmente conmovedor en sus conclusiones.
Según el estudio, que tiene como objetivo analizar las principales vulnerabilidades y ciberriesgos en sectores estratégicos a nivel mundial, en el periodo analizado, el sector energético ha sido víctima de numerosos incidentes provocados por entidades con diferentes motivaciones.
En esta ocasión, destaca el aumento de los ciberataques destinados a destruir o paralizar las infraestructuras eléctricas para causar el mayor daño posible.
El sector energético europeo sufrió una serie de ciberataques
El equipo de S21sec Intelligence concluye que entre los ataques más significativos del primer semestre del año destacan los ocurridos en febrero.
Además, el sector energético europeo sufrió una serie de ciberataques dirigidos, entre otros, a empresas alemanas, belgas y rumanas.
Además de estos, hubo otros incidentes dirigidos a atacar infraestructuras críticas, como el de ransomware que afectó a un importante grupo italiano y dejó inoperativos sus sistemas informáticos.
Durante el mes de febrero, la mayor parte de los ataques registrados en este sector se dirigieron a empresas del cadena de suministro, proveedores e instalaciones o sistemas de apoyo.
Ataques provocados por motivaciones principalmente económicas
Así, debido a la magnitud de las consecuencias, los ciberataques a sistemas de infraestructuras críticas se han convertido en uno de los mayores peligros para la sociedad, llegando a provocar la paralización de servicios públicos y situaciones de desabastecimiento.
«Debemos tener en cuenta que las infraestructuras energéticas de un país se consideran infraestructuras críticas. Y que un ataque contra ellos puede suponer riesgos no sólo para la empresa atacada, sino también para el público», dice Hugo Nunes, jefe del equipo de Inteligencia de S21sec en Portugal.
En este contexto, el estudio de S21sec concluye que se han producido al menos 43 ataques de ransomware contra empresas del sector energético desde enero de 2022.
Portugal, uno de los ciberataques de mayor impacto se produjo en el mes de Mayo en una empresa de las Azores. El incidente afectó a sus sistemas de información, en particular al sistema comercial, durante varios días.
El sector energético, uno de los principales afectados por la guerra
Desde el estallido de la guerra tras la invasión rusa de Ucrania, han aumentado las ciberamenazas dirigidas al sector energético y a las infraestructuras críticas. Simultáneamente, los atacantes han ampliado sus objetivos a otros países europeos, especialmente los que prestan apoyo a Ucrania.
Así, entidades alineadas con Rusia han amenazado con llevar a cabo operaciones en el ciberespacio en represalia por supuestas ofensivas cibernéticas contra el gobierno ruso. Esto, así como los ataques dirigidos contra países y organizaciones que se han posicionado en el bando contrario.
«La gran mayoría de los ataques observados durante el desarrollo de la guerra híbrida consistieron en sitios web desfiguración y ataques DDoS (provocados por hacktivistas). Por la filtración de bases de datos e información confidencial de organismos gubernamentales e infraestructuras críticas y también por el uso de malware específico (wipers). Todo ello con el objetivo de destruir o borrar los datos de los sistemas críticos de este sector», dijo Hugo Nunes.
En la fase inicial del conflicto entre Rusia y Ucrania, se registraron tres ciberataques a empresas europeas de producción de energía eólica. Todos forman parte de grupos de ransomware que se han declarado solidarios con el gobierno ruso, como Conti y Black Basta.
Cabe señalar que, aunque el incentivo de estos grupos es generalmente económico, no se puede descartar que también tuvieran una motivación política. Es decir, con el objetivo de perturbar el funcionamiento de las empresas de producción de energía en Europa.
También al principio del conflicto, el ransomware Blackcat, vinculado a grupos cibercriminales rusos, se dirigió a empresas relacionadas con la producción y el transporte de petróleo y gas.
Hay que tener en cuenta, sin embargo, que el ransomware-as-a-service Blackcat, que se activó en noviembre de 2021, se distribuye principalmente a través del correo electrónico.
Así, cuando la víctima descarga y abre el archivo adjunto del correo electrónico, el malware comienza a ejecutarse en la máquina y posteriormente se utilizan varias técnicas sofisticadas con el objetivo final de cifrar los archivos de la organización.
«Una de las particularidades de Blackcat es el uso de la técnica de la triple extorsión en un intento de añadir aún más presión a la necesidad de que la víctima pague el rescate».
«A la encriptación de datos dentro de la organización, la exfiltración de información y la amenaza de publicarla en su blog en la Deep Web, se suma la amenaza de la ejecución de ataques de denegación de servicio distribuido (DDoS) si la víctima no paga el rescate solicitado», explica Hugo Nunes.
