Investigadores de Kaspersky descubrieron que industrias chilenas se han visto afectadas por el ataque de puerta trasera SunBurst a la compañía estadounidense SolarWinds, un proveedor de software que permite a sus clientes administrar sistemas, redes e infraestructura. Hasta el momento, Chile es el único país de Sudamérica que ha presentado casos de este ciberataque anunciado públicamente el 13 de diciembre de 2020 y enfocado en desestabilizar cadenas de suministro.
Si bien el número oficial confirmado de víctimas asciende a 18,000, existe información limitada sobre qué tipo de organizaciones utilizaron las versiones con puerta trasera de SolarWinds y sufrieron el actuar de los ciberdelincuentes. Para responder esta pregunta, los investigadores de Kaspersky ICS CERT evaluaron la información interna y disponible públicamente, y definieron qué industrias se han visto perjudicadas.
Mediante el análisis de los nombres de dominio internos decodificados, obtenidos y generados por el algoritmo de SunBurst, los investigadores pudieron recopilar una lista de casi 2,000 DNS legibles y atribuibles. De esta forma, concluyeron que el sector más afectado ha sido el manufacturero, con 18,11%, es decir, una de cada cinco víctimas proviene de esta industria. Más atrás se ubican instituciones de servicios públicos (3,24%), construcción (3,03%), transporte y logística (2,97%), y petróleo y gas (1,35%). Estos datos se correlacionan con el análisis de Kaspersky de sus clientes afectados y las industrias a las que pertenecen.
Otros países perjudicados por el malware que vulneró los sistemas de SolarWinds son Canadá, Indonesia, Irán, Malasia, México, Países Bajos, Filipinas, Portugal, Rusia, Arabia Saudita, Taiwán, Uganda, y Estados Unidos.
“El software SolarWinds está altamente integrado en muchos sistemas de diferentes industrias alrededor del mundo y, como resultado, la escala del ataque SunBurst es incomparable. Incluso, muchas organizaciones que se vieron afectadas podrían no haber sido de interés para los delincuentes inicialmente. Si bien no tenemos evidencia de un ataque de segunda etapa entre las víctimas, no debemos descartar la posibilidad de que ocurra en el futuro. Por lo tanto, es fundamental para potenciales organizaciones que podrían verse afectadas, descartar la infección y asegurarse de que cuentan con los procedimientos adecuados de respuesta a incidentes”, comenta Maria Garnaeva, investigadora senior de seguridad de Kaspersky.
Para posibles víctimas del ataque perpetrado a SolarWinds, los expertos de Kaspersky ofrecen las siguientes recomendaciones:
1. Compruebe si están instaladas las versiones de SolarWinds con puerta trasera. Las versiones afectadas conocidas incluyen las compilaciones de software 2019.4 HF 5, 2020.2 sin revisión instalada y 2020.2 HF1.
2. Compruebe los indicadores conocidos de compromiso (IOCs). CISA ha publicado la Alerta AA20-35A con una extensa lista.
3. Si ha detectado una instalación de SolarWinds comprometida o IOC relacionadas, inicie una investigación y desarrolle un procedimiento de respuesta a incidentes, considerando todos los posibles vectores de ataque:
-Aísle los activos que se sabe que están comprometidos, mientras mantiene el sistema operativo.
-Evite que se eliminen los IOCs que podrían ser útiles para la investigación.
-Verifique todos los registros de la red para detectar actividades sospechosas.
-Compruebe los registros diarios del sistema para confirmar si la autenticación de la cuenta de usuario es o no legítima.
-Localice la actividad de procesos sospechosos e investigue la memoria y los archivos asociados.
-Verifique los datos históricos de la línea de comandos asociados con la actividad sospechosa.
4. Si cree ser víctima del ataque a SolarWinds, puede escribir a ics-cert@kaspersky.com para obtener asesoramiento.
