En un post anterior del SOC Infordisa informábamos de una vulnerabilidad encontrada por NCC Group en dispositivos BLE que afecta por ejemplo a cerraduras inteligentes. Pues bien, ahora se ha publicado otro informe de Forescout donde se demuestra que mediante dispositivos IoT vulnerables se pueden usar para perpetrar ataques combinados.
Debido a que las infecciones de ransomware han evolucionado desde el cifrado puro de datos hasta esquemas como la extorsión doble y triple, es probable que un nuevo vector de ataque prepare el escenario para futuras campañas.
El ransomware para IoT denominado R4IoT por Forescout, es un «ransomware novedoso de prueba de concepto que explota un dispositivo IoT para obtener acceso y moverse lateralmente en una red de TI e impactar la red OT».
Este tipo de ransomware se aprovecha por ejemplo de vulnerabilidades en dispositivos IoT, como las cámaras IP, para obtener un punto de apoyo inicial, seguido de la implementación de ransomware en la red de TI, y el aprovechamiento de las malas prácticas de seguridad operativa para mantener como rehenes los procesos de misión crítica.
En la web de forescout se muestra un video donde se hace una demostración clara de cómo las vulnerabilidades de IoT y OT se pueden combinar con una campaña de ataque tradicional.
En otras palabras, R4IoT es un nuevo tipo de malware que reúne un punto de entrada de IoT y el movimiento lateral y el cifrado relacionados con el ransomware en una red de TI, lo que provoca un impacto extendido tanto en las redes de TI como en las redes de OT.
Es un escenario hipotético, esto podría implicar comprometer una máquina en la red corporativa no solo para eliminar ransomware, sino también para recuperar cargas útiles adicionales de un servidor remoto para implementar mineros de criptomonedas y lanzar ataques de denegación de servicio (DoS) contra activos de OT.
Según Forescout:
«Las nuevas tendencias de conectividad agregaron una cantidad y una diversidad de dispositivos OT e IoT que han aumentado el riesgo en casi todos los negocios».
Para mitigar tanto la probabilidad como el impacto de posibles incidentes de R4IoT, se recomienda a las organizaciones que identifiquen y apliquen parches a los dispositivos vulnerables, hagan cumplir la segmentación de la red, implementen políticas de contraseñas seguras y supervisen las conexiones HTTPS, las sesiones FTP y el tráfico de la red.
Link al informe de Forescout