Industroyer/BlackEnergy: cómo prevenir la nueva amenaza mundial

industroyer prevenir
3 Agosto

Industroyer/BlackEnergy: cómo prevenir la nueva amenaza mundial  

By J.M. Castillo, Post

En el último post contamos cómo funciona Industroyer/BlackEnergy, la nueva amenaza mundial. Ante este tipo de situaciones, lo más importante es conocer cómo podemos mitigar o prevenir, por lo que vamos a ver cómo podemos prepararnos ante este ataque malicioso.

Industroyer: cómo prevenirlo

A fecha de hoy no existe ningún parche específico para impedir o dificultar la infección, esto puede ser debido a que no se trata de un ataque masivo, sino que está muy enfocado a ciertas empresas. No obstante, hay ciertas formas, de dificultar su implementación.

  • Uso de listas blancas de procesos, impidiendo la ejecución de procesos que hayan sido modificados.

  • Separación de entornos, utilizando un equipo para las tareas correspondientes a los sistemas de control y otro para las tareas de gestión correspondientes a los sistemas de información.

  • Formación a los empleados y concienciación en seguridad sobre la utilización de determinado software y la apertura de ficheros provenientes de internet.

  • Actualización de los sistemas y aplicación de parches de seguridad para prevenir ataques de vulnerabilidades ya conocidas.

  • Actualización de las firmas de los antivirus y programas antimalware que puedan dar respuesta rápida.

  • Uso de sistemas de gestión de eventos y monitorización del tráfico.

Las comunicaciones al exterior que son llevadas a cabo por este malware podrían ser detectadas y bloqueadas mediante prácticamente cualquier cortafuegos o dispositivo IDS/IPS comercial, sin ser necesario que sean específicos para sistemas de control, puesto que sólo es necesario controlar el origen y el destino de la información a través de la IP.

El resto de acciones requiere de herramientas específicas para su detección y mitigación. BlackEnergy/industroyer hace uso, en general, de comandos permitidos por el sistema, pero en un número elevado en espacios de tiempo relativamente cortos. Para esta tarea es necesario disponer de un analizador de tráfico de red capaz de comprender los protocolos industriales, en el caso de BlackEnergy/industroyer los específicos del sector eléctrico.

Las herramientas de análisis de tráfico de forma pasiva, complementan las tareas realizadas por los operadores de red alertando a estos de posibles fallos o ataques. La ventaja de estas herramientas en los sistemas de control consiste en analizar el tráfico de forma pasiva, lo que supone que no se interfiere en el proceso del sistema, incorporando retardos o bloqueando señales, y, además, se detectan problemas que puedan originar tráfico permitido, pero fuera del patrón habitual.

Existe un informe detallado del funcionamiento creado por ESET, y disponible en este link. https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

Aquí se puede leer la noticia del apagón: http://www.reuters.com/article/us-ukraine-cyber-attack-energy-idUSKBN1521BA

 

Fuentes:

https://www.certsi.es

https://www.welivesecurity.com

Comparte este artículo

 

Compartir10

 

Autor

Dpto sistemas

 

J.M. Castillo

Departamento de Sistemas

Otros artículos

Scroll al inicio