Ransomware ‘Snake’ ligado a Irán apunta a controles industriales

Una empresa israelí de ciberseguridad identificó un nuevo tipo de ransomware que considera fue creado por Irán y tiene la capacidad de bloquear o incluso eliminar sistemas de control industrial.

Otorio, una empresa de ciberseguridad que se especializa en sistemas de control industrial (SCI), con sede en Tel Aviv, dijo que el ransomware llamado “Snake”, como otros de su clase, encripta programas y documentos en máquinas infectadas. Pero, además, elimina todas las copias de archivos de las estaciones infectadas, con lo que evita que las víctimas recuperen archivos cifrados.

Snake busca cientos de programas específicos —incluidos muchos procesos industriales pertenecientes a General Electric Co.— con la finalidad de interrumpirlos y permitirle encriptar los archivos, dijo Otorio.

“Eliminar o bloquear procesos de SCI específicos impediría a los equipos de fabricación acceder a procesos vitales relacionados con la producción, incluidos análisis, configuración y control”, dijo Otorio en un comunicado. “Esto es equivalente a vendar los ojos a un conductor y luego quitarle el volante”.

Múltiples llamadas al Ministerio de Relaciones Exteriores iraní quedaron sin respuesta.

En un comunicado, un representante de General Electric dijo que “GE está al tanto de los informes de una familia de ransomware con una funcionalidad específica del sistema de control industrial. Según nuestro entendimiento, el ransomware no está dirigido exclusivamente a los productos de SCI de GE, y no apunta a una vulnerabilidad específica en los productos de SCI de GE”.

GE trabajaría con los clientes para brindar soporte según sea necesario, dijo el representante.

Los investigadores de Otorio comenzaron a estudiar la aparición de un nuevo ransomware a mediados de diciembre y pronto se percataron que era uno de los primeros dirigidos al sector industrial. Mientras más profundizaban, los investigadores descubrieron que Bahrain Petroleum Co., conocido como Bapco, era potencialmente vulnerable a esta nueva amenaza cibernética.

Bapco no solo usa equipos GE, sino que su nombre se encontró en el código del malware, dijo Otorio.

“Hay hallazgos y huellas dentro del malware que, cuando se tienen en cuenta las circunstancias que rodean esta campaña, hacen que sea muy poco razonable que Snake haya sido realizado por un actor diferente a Irán”, se lee en el informe de Otorio.

Lo que aumenta la confianza de los investigadores de que Snake se originó en Irán fue un presunto ataque por separado en Bapco que se llevó a cabo en paralelo con el hallazgo de Snake.

“Es muy poco probable que una compañía del área del Golfo sea atacada por dos actores potentes distintos, cada uno dirigido a una parte diferente de la organización al mismo tiempo”, dijeron los investigadores en un correo electrónico.

Múltiples llamadas a Bapco no fueron contestadas.

El director ejecutivo de Otorio, Danny Bren, exjefe del comando conjunto de defensa cibernética del ejército israelí, dijo que una elección iraní de Bapco como objetivo potencial no sería incidental.

“El objetivo fue elegido cuidadosamente porque quieren cambiar los precios del petróleo”, dijo. “Esta es la guerra financiera. El mundo está ejerciendo mucha tensión financiera sobre Irán y están reaccionando con la misma herramienta”.

Exfuncionarios estadounidenses y expertos en seguridad han expresado su preocupación de que Irán pueda estar considerando un ataque cibernético contra Estados Unidos o sus aliados después de un ataque aéreo estadounidense en Bagdad a principios de este mes que cobró la vida de Qassem Soleimani, el mayor general iraní que dirigió la Fuerza Quds de los Cuerpos de la Guardia Revolucionaria Islámica. Irán posee un arsenal de malware y Otorio dijo que Snake probablemente fue creado antes del asesinato del general.