Herramienta de recuperación de contraseña infecta sistemas industriales con malware Sality

Un actor de amenazas está infectando los sistemas de control industrial (ICS) para crear una botnet a través del software de "descifrado" de contraseñas para controladores lógicos programables (PLC).

Anunciadas en varias plataformas de redes sociales, las herramientas de recuperación de contraseña prometen desbloquear terminales PLC y HMI (interfaz hombre-máquina) de Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB y Panasonic.

advertisments

Los investigadores de seguridad de la empresa de ciberseguridad industrial Dragos analizaron un incidente que afectó a los PLC DirectLogic de Automation Direct y descubrieron que el software de "craqueo" estaba explotando una vulnerabilidad conocida en el dispositivo para extraer la contraseña.

plc

Pero detrás de escena, la herramienta también lanzó Sality, una pieza de malware que crea una red de bots peer-to-peer para varias tareas que requieren el poder de la computación distribuida para completarse más rápido (por ejemplo, descifrado de contraseñas, minería de criptomonedas).

Los investigadores de Dragos descubrieron que el exploit utilizado por el programa malicioso se limitaba a las comunicaciones en serie. Sin embargo, también encontraron una forma de recrearlo a través de Ethernet, lo que aumenta la gravedad.

response(3)

Después de examinar el software vinculado con Sality, Dragos informó a Automation Direct sobre la vulnerabilidad y el proveedor lanzó las mitigaciones apropiadas .

Sin embargo, la campaña del actor de amenazas continúa y los administradores de PLC de otros proveedores deben ser conscientes del riesgo de usar software de descifrado de contraseñas en entornos ICS.

Independientemente de cuán legítima sea la razón para usarlas, los ingenieros de tecnología operativa deben evitar las herramientas para descifrar contraseñas, especialmente si se desconoce su fuente.

Para escenarios en los que sea necesario recuperar una contraseña (porque la olvidó o porque la persona que la tenía ya no es su colega), Dragos recomienda ponerse en contacto con ellos o con el proveedor del dispositivo para obtener instrucciones y orientación.

 

Red de bots P2P de Sality

Sality es una pieza antigua de malware que continúa evolucionando con funciones que le permiten finalizar procesos, abrir conexiones a sitios remotos, descargar cargas útiles adicionales o robar datos del host.

El malware también puede inyectarse en procesos en ejecución y abusar de la función de ejecución automática de Windows para copiarse en recursos compartidos de red, unidades externas y dispositivos de almacenamiento extraíbles que podrían llevarlo a otros sistemas.

La muestra específica analizada por Dragos parece estar enfocada en el robo de criptomonedas. Los investigadores dicen que el malware agregó una carga útil que secuestró el contenido del portapapeles para desviar las transacciones de criptomonedas.

Sin embargo, un atacante más avanzado podría usar este punto de entrada para crear daños más graves al interrumpir las operaciones. En este caso particular, la víctima comenzó a sospechar después de ejecutar el software malicioso porque el nivel de uso de la CPU aumentó al 100 % y Windows Defender emitió múltiples alertas de amenazas.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies