Protección de la infraestructura crítica 
Uso de IBM Security QRadar EDR para rastrear un ataque a la cadena de suministro altamente sofisticado contra una instalación de gestión de agua 
Vista aérea de planta de tratamiento de agua

Un actor de amenaza extranjero apunta a una instalación de gestión del agua en Europa responsable de distribuir agua a aproximadamente un millón de personas. La instalación asume inicialmente que la nueva actividad es legítima. Los atacantes logran comprometer los servidores e implementar medidas antiforenses basadas en ransomware. 

El desafío de la seguridad

  • Posición vulnerable como infraestructura crítica a cargo de la distribución regional de agua

  • Sin capacidades de detección y búsqueda para amenazas sin archivos y movimientos laterales

  • Falta de protección contra ransomware

  • Recursos limitados asignados a la seguridad endpoint

Los sitios de infraestructura crítica deben adaptarse continuamente para manejar la creciente complejidad del riesgo cibernético y aumentar la exposición a actores de amenazas sofisticados. El tipo de recursos bajo gestión hace de la infraestructura crítica un objetivo ideal para ataques de alto impacto y la exfiltración de datos altamente confidenciales.

Además de las herramientas tradicionales de análisis de redes, la instalación de gestión del agua no tenía monitoreo endpoint y ninguna capacidad de respuesta en caso de un ataque. Sus herramientas no permitieron el seguimiento de las operaciones entre endpoints, como los movimientos laterales. Además, la falta general de recursos de TI significó que el operador contratara proveedores externos para gestionar servicios esenciales, como correo electrónico, DNS, VPN y firewalls, lo que creó una mayor complejidad en torno a la coordinación de los esfuerzos de múltiples proveedores dispares. 

segundos

 

Limpió el segmento de red infectado en segundos, lo cual evitó daños que podrían haber bloqueado el servicio esencial a la ciudadanía

2 días

 

Se cerró con éxito el incidente en 2 días sin pérdida de datos, interrupción de servicios esenciales ni daños a los endpoints.

 
El ataque implicó una docena de dispositivos antes de la etapa de implementación del ransomware y varios miles después.
 
El proceso

Descripción general de la solución:

  • IBM®Security QRadar® EDR utiliza NanoOS, que está diseñado para ser indetectable y proporcionar un nivel excepcional de visibilidad en todos los endpoints y la infraestructura.

  • Realiza un seguimiento nativo de movimientos laterales e intentos de inicio de sesión anómalos

  • Proporciona protección nativa contra ataques de ransomware

  • Ofrece una potente interfaz de búsqueda de amenazas para permitir el seguimiento y la reconstrucción de incidentes altamente complejos 

La instalación de gestión del agua ejecutó el software IBM Security QRadar EDR en todos los servidores, computadoras de escritorio y computadoras portátiles de la instalación para monitorear continuamente cada activo y rastrear e investigar rápidamente posibles brechas de seguridad. Mediante los motores de IA duales incorporados de la solución y el análisis detallado del comportamiento, el cliente obtuvo una visibilidad completa de la infraestructura, lo que permite consultas en tiempo real a los endpoints y búsquedas extendidas de indicadores de compromiso (IOC) e indicadores de comportamiento (IOB), junto con minería de datos avanzada para descubrir amenazas latentes.

Seis meses después de la implementación, el agente QRadar EDR detectó una actividad anómala inicial y rastreó a los atacantes en su recorrido para acceder a un conjunto específico de datos. El software antivirus tradicional existente del cliente y el sistema de detección de intrusos (IDS) no detectaron ninguna actividad hasta la última etapa del ataque. Si el cliente no hubiera implementado QRadar EDR, los atacantes habrían logrado adquirir y exfiltrar los datos.

 

Ataque a la cadena de suministro

El día de la filtración inicial, QRadar EDR marcó un inicio de sesión sospechoso desde un servidor VPN hacia un endpoint en el segmento de red sin privilegios. El equipo de seguridad supuso que el inicio de sesión se debía a labores de mantenimiento de un proveedor de seguridad externo, por lo que asignó una prioridad baja al incidente. Los atacantes desplegaron malware inicial, utilizado principalmente para mapear el segmento de red buscando rutas directas a la red privilegiada. Al no encontrar tales rutas disponibles, los atacantes implementaron un segundo malware en memoria para recopilar credenciales y reutilizarlas en movimientos laterales posteriores. Una vez obtenidas las credenciales, los atacantes se dirigieron al controlador de dominio y poco después a un servidor de archivos que contenía documentos internos.

 

Análisis de causa raíz

El inicio de sesión anómalo inicial ocurrió fuera del horario de turno, desde un endpoint que generalmente interactúa con servidores, pero no con estaciones de trabajo. El canal VPN fue administrado por un proveedor externo que también estaba a cargo de mantener el servidor de correo y los firewalls además de la VPN en sí. Por la naturaleza del acceso, la alerta se mantuvo activa para rastrear cada operación, pero, en ese punto, el equipo de seguridad interna asignó una prioridad baja al evento, asumiendo que el proveedor estaba ejecutando el mantenimiento en la infraestructura.

Al día siguiente, QRadar EDR emitió una segunda alerta, mostrando la actividad de un malware ligero utilizado para escanear la red interna, seguida pronto por otra alerta que señalaba la presencia de un vector en memoria con capacidades de registro de teclas y recolección de credenciales. En ese punto, el equipo de seguridad se centró en estos eventos, iniciando una sesión de búsqueda de amenazas mientras que los atacantes finalmente lograron, a través de una serie de movimientos laterales, acceder a uno de los controladores de dominio. El equipo decidió aprovechar la invisibilidad de la tecnología NanoOS para seguir el rastro de los atacantes el mayor tiempo posible y comprender el modus operandi y sus objetivos.

Cuando los atacantes intentaron llegar al servidor de archivos que contenía información altamente confidencial, el equipo decidió detenerlos e iniciar el plan de erradicación. Mientras se remediaban los diversos dispositivos, los atacantes se dieron cuenta de que, a pesar del alto nivel de acceso, no podían acceder a la información que estaban buscando. Como imaginaron que habían sido descubiertos, desplegaron un ransomware en toda la infraestructura para cubrir sus huellas.

 

Ataque y reconstrucción

Una vez que las motivaciones del ataque eran claras, el operador necesitaba comprender todo el ataque para reforzar los puntos débiles de la infraestructura. El ataque implicó una docena de dispositivos antes de la etapa de implementación del ransomware (Fase 1) y varios mil después de eso (Fase 2).

Los atacantes lograron obtener acceso a la VPN y al proveedor del servidor de correo, y los utilizaron como punto de entrada inicial a la red interna. Los atacantes reutilizaron las credenciales del proveedor para pasar a diferentes máquinas y, finalmente, se asentaron en una estación de trabajo específica. En ese momento, utilizaron una cadena de herramientas para escanear la red interna e identificar objetivos para movimientos laterales. En la etapa final, utilizaron el controlador de dominio para propagar ransomware en todos los dispositivos. 

 

El cliente automatizó el proceso de limpieza utilizando el módulo de reparación de QRadar EDR, y utilizó la protección antiransomware de la solución para evitar la pérdida de datos y la interrupción operativa.

 

Desastre evitado: respuesta y reparación 

La instalación de gestión del agua aseguró el acceso VPN y llevó a cabo una sesión de búsqueda de amenazas que identificó a cada máquina a la que los atacantes lograron acceder. El módulo de reparación QRadar EDR automatizó el proceso de limpieza y el segmento se limpió en cuestión de segundos. La instalación obtuvo todas las herramientas utilizadas durante la etapa de reconocimiento y movimiento lateral, e inmediatamente propagó una política que incluía IOC y comportamientos en toda la infraestructura. No se identificaron hosts comprometidos adicionales después de la implementación de políticas. Las credenciales se restablecieron inmediatamente para todos los usuarios, y el ataque de ransomware no requirió ninguna intervención adicional porque el cliente habilitó la protección antiransomware QRadar EDR para todos los dispositivos, lo cual evitó la pérdida de información importante y la interrupción de las actividades normales.

La instalación cerró con éxito el incidente el segundo día, sin pérdida de datos, interrupción de servicios esenciales ni daños en los endpoints.

Si la instalación no hubiera empleado QRadar EDR, los atacantes seguramente habrían filtrado información confidencial y podrían haber permanecido activos durante un largo periodo, con toda la infraestructura finalmente inutilizada por el ataque final de ransomware. Tal ataque habría tenido un enorme impacto en la capacidad de la instalación para seguir brindando servicios esenciales a los ciudadanos de la región, lo cual pudo haberlos bloqueado por completo. Dada la dificultad de identificar los ataques a la cadena de suministro, la instalación podría haber sido violada de nuevo a través del mismo canal si no se hubiera dispuesto de información forense para determinar la causa raíz de la violación. 

Acerca del cliente

Esta instalación de gestión del agua en Europa es responsable de manejar y distribuir agua a cerca de un millón de personas. La instalación se clasifica como infraestructura crítica y servicios esenciales. 

A continuación:
Ver caso de estudio PDF Suscríbase al boletín de IBM Prevención de ataques de malware y ransomware

Una empresa naviera internacional despliega seguridad endpoint automatizada en buques con conectividad de red limitada

Lea el caso de estudio
Un importante aeropuerto internacional 

Búsqueda de malware dentro de una red con acceso aéreo mediante IBM Security QRadar EDR

Lea el caso de estudio
Legal

© Copyright IBM Corporation 2023. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504

Producido en los Estados Unidos de América, junio de 2023.

IBM, el logotipo de IBM, IBM Security y QRadar son marcas comerciales o marcas registradas de International Business Machines Corporation, en Estados Unidos u otros países. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Una lista actual de marcas registradas de IBM está disponible en ibm.com/trademarks.

Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier
momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.

Todos los ejemplos de clientes citados o descritos se presentan como ilustraciones de la forma en que algunos han utilizado los productos de IBM y los resultados que pueden haber logrado. Los costos ambientales reales y las características de rendimiento variarán según las configuraciones y condiciones individuales del cliente. En general, no se pueden proporcionar los resultados esperados, ya que los resultados de cada cliente dependerán completamente de los sistemas y servicios que soliciten. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”; SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS SIN GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN PROPÓSITO PARTICULAR Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.

Declaración de buenas prácticas de seguridad. Ningún sistema o producto de TI debe considerarse completamente seguro, y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido.  IBM no garantiza que ningún sistema, producto o servicio sea inmune o hará que su empresa sea inmune a la conducta maliciosa o ilegal de ninguna parte.