Investigadores del Instituto de Tecnología de Georgia han creado una cepa ransomware prueba de concepto que puede alterar los parámetros del controlador lógico programable. El equipo de investigación presentó su trabajo, en la conferencia de seguridad cibernética RSA en San Francisco.
Los PLC son los dispositivos en el corazón de los sistemas industriales de control (ICS) y Control de Supervisión y Adquisición de Datos (redes SCADA). Estos dispositivos adquieren datos de los sistemas físicos, transmiten la información a la red informática de una empresa, y traduce los comandos de los operadores humanos en movimientos mecánicos o señales eléctricas.
En el mundo real, los PLC son dispositivos de manejo de válvulas, motores, bombas, sensores, ascensores, escaleras y entradas de tensión, temporizadores, sistemas de climatización y otros sistemas mecánicos.
Estos dispositivos pueden ser controlados a través de una ubicación central, mediante un software especial SCADA que se ejecutan en equipos normales.
Los investigadores del GIT han desarrollado un ransomware que puede identificar cuando se ejecuta en ordenadores con software del PLC, bloquear el dispositivo, y alterar los parámetros del PLC.
Un posible escenario de ataque sería si el ransomware infectaría red crítica de una instalación de tratamiento de agua, alterar los parámetros de tratamiento de agua para añadir más cloro u otros productos químicos al agua potable, y luego exigir un rescate enorme para desbloquear y poner el PLC.
Dependiendo del número de afectados PLC y el tiempo necesario para restablecer manualmente los dispositivos repartidos en diferentes lugares, los operadores podrían verse obligados a pagar el rescate antes de que el agua llegue a los consumidores.
El ransomware NO se ha visto en la naturaleza hasta ahora, pero los investigadores dicen que esto es sólo una cuestión de tiempo.
"Estamos a la espera del ransomware para ir un paso más allá, más allá de los datos del cliente para comprometer los sistemas de control de sí mismos", dijo David Formby, un Ph.D. estudiante de la Escuela Técnica de Georgia de la Ingeniería Eléctrica e Informática.
"Eso podría permitir a los atacantes tomar los sistemas críticos como rehenes, como las plantas de tratamiento de agua e instalaciones de fabricación. Comprometer los controladores lógicos programables (PLC) en estos sistemas es el siguiente paso lógico para estos atacantes."
En últimos incidentes cibernéticos que afectaron a los sistemas de ICS, había una línea directa de PLC a los sistemas de gestión utilizados por los operadores humanos para controlarlos, y el resto de la red de una organización. Un punto débil en el firewall de la empresa o un usuario hackeado por lo general dirigidos a un compromiso total de toda la red.
Los investigadores sostienen que las empresas y organizaciones que trabajan con los PLC y otros equipos SCADA siguen las mejores prácticas de la industria y aislar estos dispositivos de Internet y el resto de la red.
A pesar de su experimento ransomware prueba de concepto, los expertos GIT argumentan que el mayor peligro para los sistemas industriales provendrá de los agentes del Estado-nación, en lugar de los operadores ransomware.
Muchos expertos en seguridad teorizan hoy que una infección ransomware es probablemente uno de los mejores métodos para ocultar tanto los ataques del Estado-nación y los delitos informáticos motivados financieramente. Esto se debe a que las empresas a menudo la opción de borrar los sistemas o restaurar las copias de seguridad, eliminar registros u otras pistas que podrían haber expuesto los cortes más complejos.
