Protección de la infraestructura crítica 
Uso de IBM Security QRadar EDR para rastrear un ataque de cadena de suministro altamente sofisticado contra una instalación de gestión del agua 
Vista aérea de una planta de tratamiento de agua

Un actor de amenaza extranjero apunta a una instalación de gestión del agua en Europa responsable de distribuir agua a aproximadamente un millón de personas. El centro inicialmente asume que la nueva actividad es legítima. Los atacantes logran comprometer los servidores e implementar medidas antiforenses basadas en ransomware. 

El desafío de seguridad

  • Posición vulnerable como infraestructura crítica a cargo de la distribución regional de agua

  • Incapacidad de detección y búsqueda de amenazas sin archivos y de movimientos laterales

  • Falta de protección contra el ransomware

  • Recursos limitados para la seguridad de los endpoints

Los sitios de infraestructura crucial deben adaptarse continuamente para poder gestionar la complejidad del riesgo cibernético y la exposición a actores de amenazas complejas, ambas en aumento. El tipo de recursos que se gestionan hace que las infraestructuras cruciales sean el objetivo perfecto de los ataques de alto impacto y la exfiltración de datos altamente sensibles.

Aparte de las herramientas tradicionales de análisis de la red, la instalación de gestión de recursos hídricos no contaba con una supervisión de los endpoints ni con capacidades de respuesta en caso de ataque. Con sus herramientas no se podía realizar un seguimiento de las operaciones entre endpoints, como los movimientos laterales. Además, por la falta general de recursos de TI, el operador tuvo que contratar a proveedores externos que le ayudaran a gestionar servicios esenciales como el correo electrónico, el DNS, las redes virtuales y los cortafuegos. Esto sumó más complejidad a la hora de coordinar los esfuerzos de los diferentes proveedores. 

segundos

 

Limpió el segmento de red infectado en segundos, evitando daños que podrían haber bloqueado el servicio esencial para los ciudadanos

2 días

 

Se cerró correctamente el incidente en un plazo de 2 días sin pérdida de datos, interrupción de los servicios esenciales o daños a los endpoints

 
El ataque implicó una docena de dispositivos antes de la etapa de implementación del ransomware y varios miles después de eso.
 
El proceso

Descripción general de la solución:

  • IBM® Security QRadar EDR utiliza NanoOS, que está diseñado para ser indetectable y proporcionar un nivel excepcional de visibilidad en endpoints e infraestructura

  • Rastrea de manera nativa los movimientos laterales y los intentos de inicio de sesión anómalos

  • Proporciona protección nativa contra los ataques de ransomware

  • Ofrece una potente interfaz de búsqueda de amenazas que permite el seguimiento y la reconstrucción de incidentes muy complejos 

La instalación de gestión del agua ejecutó el software IBM Security QRadar EDR en todos los servidores, ordenadores de sobremesa y portátiles de la instalación para supervisar continuamente todos los activos y rastrear e investigar con prontitud posibles fallos de seguridad. Mediante el uso de los motores duales de IA incorporados de la solución y el análisis detallado del comportamiento, el cliente logró una visibilidad total sobre la infraestructura, lo que permitió realizar consultas en tiempo real a los endpoints y búsquedas ampliadas tanto indicadores de compromiso (IOC) e indicadores de comportamiento (IOB), junto con minería avanzada de datos para descubrir amenazas latentes.

Seis meses después de la implementación, el agente EDR detectó una actividad anómala y empezó a rastrear a los atacantes hasta llegar a un conjunto específico de datos. El software antivirus tradicional existente del cliente y el sistema de detección de intrusiones (IDS) no detectaron ninguna actividad hasta la última etapa del ataque. Si el cliente no hubiera implementado QRadar EDR, los atacantes habrían conseguido adquirir y filtrar los datos.

 

Ataque a la cadena de suministro

El día que comienza la infracción, QRadar EDR detecta un inicio de sesión sospechoso en un endpoint del segmento de red desde un servidor VPN. El equipo de seguridad da por hecho que el inicio de sesión se debe a un trabajo de mantenimiento de un proveedor de seguridad externo, de manera que asigna una prioridad baja al incidente. Los atacantes implementó un programa malicioso inicial, utilizado principalmente para mapear el segmento de la red en busca de rutas directas a la red privilegiada. Al no encontrar tales rutas disponibles, los atacantes implementaron un segundo programa malicioso en memoria para recopilar credenciales y reutilizarlas en movimientos laterales posteriores. Con las credenciales obtenidas, los atacantes pasaron al controlador de dominio y, poco después, a un servidor de archivos que contiene documentos internos.

 

Análisis de causa raíz

El inicio de sesión anómalo se produjo fuera del horario de trabajo, desde un endpoint que suele interactuar con los servidores pero no con las estaciones de trabajo. El canal VPN estaba gestionado por un proveedor externo que también se encargaba de mantener el servidor de correo y los cortafuegos, además de la propia VPN. Debido a la naturaleza del acceso, la alerta se mantuvo activa para rastrear cada operación, pero en ese punto, el equipo de seguridad interno pensaba que se estaba realizando mantenimiento en la infraestructura, de manera que asignó una prioridad baja al incidente.

Al día siguiente, QRadar EDR lanzó una segunda alerta, mostrando la actividad de un malware ligero utilizado para escanear la red interna, seguido por otra alerta que señalaba la presencia de un vector en memoria con capacidades de registro de pulsaciones de teclas y recolección de credenciales. En ese momento es cuando el equipo de seguridad se centró en estos incidentes. Iniciaron una búsqueda de amenazas a la vez que los atacantes estaban accediendo, mediante una serie de movimientos laterales, a uno de los controladores de dominio. El equipo decidió aprovechar la invisibilidad de la tecnología NanoOS para seguir el rastro de los atacantes durante el mayor tiempo posible para entender el modus operandi y sus objetivos.

Cuando los atacantes intentaron acceder al servidor de archivos que contenía información altamente confidencial, es cuando el equipo los detuvo e inició el plan de erradicación. Mientras se remediaban los distintos dispositivos, los atacantes se dieron cuenta de que, a pesar de la fácil accesibilidad, no lograban acceder a la información que buscaban. Al darse cuenta de que probablemente habían sido descubiertos, desplegaron un ransomware en toda la infraestructura para borrar su rastro.

 

Ataque y reconstrucción

Una vez que los motivos del ataque estuvieron claros, lo importante para el operador era conocer el ataque exhaustivamente para así reforzar todos los puntos débiles de la infraestructura. El ataque afectó a una docena de dispositivos antes de la fase de despliegue del ransomware (fase 1) y a varios miles después (fase 2).

Los atacantes lograron obtener acceso al proveedor de la VPN y del servidor de correo y los utilizaron como punto de entrada inicial a la red interna. Los atacantes reutilizaron las credenciales del proveedor para entrar en diferentes máquinas y finalmente se decantaron por una estación de trabajo específica. En ese punto, utilizaron una cadena de herramientas para escanear la red interna e identificar los objetivos de los movimientos laterales. En la etapa final, utilizaron el propio controlador de dominio para propagar el ransomware en todos los dispositivos. 

 

El cliente automatizó el proceso de limpieza utilizando el módulo de remediación de QRadar EDR, y utilizó la protección antiransomware de la solución para evitar la pérdida de datos y la interrupción operativa.

 

Desastre evitado: respuesta y remediación 

La instalación de gestión del agua aseguró el acceso a la VPN y llevó a cabo una sesión de búsqueda de amenazas que identificó a cada máquina a la que los atacantes lograron acceder. El módulo de remediación de EDR de QRadar automatizó el proceso de limpieza y el segmento se limpió en cuestión de segundos. La instalación obtuvo todas las herramientas utilizadas durante la etapa de reconocimiento y movimiento lateral e inmediatamente propagó una política que incluía el COI y los comportamientos en toda la infraestructura. No se identificaron más hosts comprometidos después de la implementación de la política. Las credenciales se restablecieron de inmediato para todos los usuarios y el ataque de ransomware no requirió ninguna otra intervención porque la protección antiransomware QRadar EDR del cliente había activado la protección antiransomware de QRadar EDR para todos los dispositivos, lo cual evitó la información importante y la interrupción de las actividades normales.

La instalación cerró exitosamente el incidente el segundo día, sin ninguna pérdida de datos, interrupción de los servicios esenciales ni afectación de los endpoints.

Si la instalación no hubiera empleado QRadar EDR, los atacantes sin duda habrían filtrado información confidencial y podrían haber permanecido activas durante un período prolongado, con la infraestructura completa finalmente deshabilitada por el ataque final de ransomware. Un ataque habría tenido un enorme impacto en la capacidad de las instalaciones para seguir prestando servicios esenciales a los ciudadanos de la región o, incluso, llegar a bloquearlos por completo. Dada la dificultad para identificar los ataques a la cadena de suministro, la instalación podría haber sido vulnerada de nuevo a través del mismo canal si no se hubiera dispuesto de información forense que permitiera determinar la causa de dicha infracción. 

Acerca del cliente

Esta instalación de gestión de recursos hídricos en Europa se encarga de manipular y distribuir agua a alrededor de un millón de personas. La instalación está clasificada como infraestructura crucial con servicios esenciales. 

A continuación:
Ver el estudio de caso PDF Suscríbase al boletín de IBM Prevención de ataques de malware y ransomware

Una empresa naviera naviera naviera la seguridad automatizada de endpoints en los barcos con conectividad a la red limitada

Lea el caso de éxito
Aeropuerto internacional importante 

Búsqueda de programa malicioso dentro de una red aislada utilizando IBM Security QRadar EDR

Lea el caso de éxito
Legal

© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard, Armonk, NY 10504

Producido en los Estados Unidos de América, junio de 2023

IBM y el logotipo de IBM, IBM Security y QRadar son marcas comerciales o marcas registradas de International Business Machines Corporation en Estados Unidos o en otros países. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Encontrará una lista actualizada de las marcas comerciales de IBM en ibm.com/trademark.

Este documento se actualizó por última
vez en la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.

Todos los ejemplos de clientes citados o descritos se presentan como ilustración de la forma en que algunos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. Los costes medioambientales y las características de rendimiento reales variarán en función de las configuraciones y condiciones de cada cliente. No es posible garantizar resultados esperados, puesto que los resultados de cada cliente van a depender por completo de los sistemas y servicios solicitados por los servicios solicitados por este. LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONA «TAL CUAL» SIN NINGUNA GARANTÍA, EXPLÍCITA O IMPLÍCITA, INCLUYENDO NINGUNA GARANTÍA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO VIOLACIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.

Declaración de buenas prácticas de seguridad: Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso.  IBM no garantiza que los sistemas, productos o servicios sean inmunes o vayan a hacer que su empresa sea inmune a la conducta maliciosa o ilegal de terceros.