La destrucción o paralización de las infraestructuras energéticas entre los objetivos de los ciberatacantes

S21sec, uno de los proveedores líderes de ciberseguridad en Europa, ha publicado su informe semestral, Threat Landscape Report, que ofrece una panorámica de las amenazas más relevantes del primer semestre de 2022. Según el estudio, que tiene como objetivo analizar las principales vulnerabilidades y riesgos cibernéticos en sectores estratégicos a nivel mundial, a lo largo de los primeros seis meses del año el sector energético ha sido víctima de numerosos incidentes propiciados por actores con motivaciones diversas, destacando el aumento de ciberataques que han tenido como objetivo la destrucción o la paralización de las infraestructuras eléctricas para causar el mayor daño posible.

Entre los principales hallazgos, el equipo de Inteligencia de S21sec concluye que, de entre los ataques más significativos durante el primer semestre del año, destacan los ocurridos en el mes de febrero. El sector energético ha sufrido una serie de ciberataques dirigidos, entre otras, contra empresas alemanas y belgas. A estos, se suman otros incidentes que tenían como objetivo asaltar infraestructuras críticas, como el ataque de ransomware que afectó a un importante grupo italiano, dejando inoperativos sus sistemas de TI; o a una compañía de servicios de aviación con sede en Suiza.

Durante el mes de febrero, la mayoría de ataques registrados tuvieron como objetivo empresas de la cadena de suministro, proveedores, instalaciones o sistemas; desencadenados por ciberdelincuentes con motivaciones principalmente económicas. En este sentido, debido a la magnitud de las consecuencias, los ciberataques a sistemas de infraestructura crítica se han convertido en uno de los mayores peligros para la sociedad, llegando incluso a provocar la paralización en los servicios públicos y situaciones de desabastecimiento. “Debemos tener en cuenta que las infraestructuras energéticas de un país se consideran infraestructuras críticas y que un ataque contra las mismas puede suponer riesgos no sólo para la empresa atacada, sino también para la ciudadanía”, apunta Sonia Fernández, responsable del equipo de Inteligencia de S21sec.

El sector energético, uno de los principales afectados por la guerra

Desde el inicio del conflicto bélico a raíz de la invasión de Rusia a Ucrania, el panorama de amenazas cibernéticas dirigidas contra el sector energético e infraestructuras críticas ha ido en aumento y los ciberdelincuentes han ampliado sus objetivos hacia otros países europeos, especialmente aquellos que han brindado apoyo a Ucrania. Así, los actores cibernéticos alineados con Rusia han amenazado con realizar operaciones en el ciberespacio en represalia por las supuestas ofensivas cibernéticas contra el gobierno ruso, además de ataques dirigidos contra países y organizaciones que se han posicionado en el bando opuesto.

En este contexto, según se deduce del estudio de S21sec, se han producido 43 ataques de ransomware contra empresas del sector energético desde enero de 2022. “La gran mayoría de los ataques observados durante el desarrollo de la guerra híbrida responden a motivaciones hacktivistas y consisten en desfiguraciones de sitios web, ataques DDoS y DoS, y filtraciones de bases de datos e información confidencial de organismos gubernamentales e infraestructuras críticas”, señala Sonia Fernández.

En la fase inicial del conflicto entre Rusia y Ucrania se produjeron tres ciberataques a empresas europeas dedicadas a la generación de energía eólica por parte de grupos de ransomware que se han declarado afines al gobierno ruso, como Conti o Black Basta. Cabe destacar que, aunque el incentivo detrás de estos grupos generalmente es económico, no se puede descartar que haya tenido también motivaciones políticas, con el fin de interrumpir el funcionamiento de empresas de generación de energía en Europa.

También en el inicio de la guerra, el ransomware Blackcat, vinculado con grupos cibercriminales de origen ruso, se dirigió contra empresas dedicadas a la producción y al transporte de petróleo y gas. Este tipo de malware Blackcat, que comenzó su actividad en noviembre de 2021, se distribuye a través de correo electrónico. Cuando la víctima descarga y abre el archivo adjunto al correo, el malware comienza a ejecutarse en la máquina cifrando los archivos de su víctima. “Blackcat deja caer notas de rescate en los sistemas comprometidos para informar a la víctima de lo que ha sucedido y cómo proceder para recuperar sus datos. El atacante se asegura de que las víctimas paguen el rescate mediante la técnica de doble extorsión, amenazando con publicar la información extraída en su blog de la Deep Web”, explica Sonia Fernández.