El FBI advierte sobre ataques de ransomware dirigidos al sector alimentario y agrícola en EE.UU.
El FBI enumeró docenas de incidentes de ransomware que han tenido lugar durante los últimos seis meses y que han tenido como objetivo el sector alimentario.
El FBI publicó recientemente un aviso advirtiendo a las empresas del sector de la alimentación y la agricultura que tengan cuidado con los ataques de ransomware que tienen como objetivo interrumpir las cadenas de suministro. La advertencia del FBI señala que los grupos de ransomware buscan «interrumpir las operaciones, causar pérdidas financieras e impactar negativamente en la cadena de suministro de alimentos».
«El ransomware puede afectar a las empresas de todo el sector, desde pequeñas granjas hasta grandes productores, procesadores y fabricantes, mercados y restaurantes. Los ciberdelincuentes aprovechan las vulnerabilidades de la red para filtrar datos y cifrar sistemas en un sector que depende cada vez más de las tecnologías inteligentes, sistemas de control industrial y sistemas de automatización basados en Internet «, señala el FBI.
«Las empresas agrícolas y de alimentos en general víctimas del ransomware sufren pérdidas financieras significativas como resultado del pago de rescates, pérdidas de productividad y también los costos de reparación. Las empresas también pueden experimentar pérdida de información patentada e información de identificación personal y pueden sufrir daños en la reputación como resultado de un ataque de ransomware».
La advertencia señala que el sector de la alimentación y la agricultura ha enfrentado un número creciente de ataques en los últimos meses, ya que los grupos de ransomware apuntan a industrias críticas con grandes ataques.
Muchas de las empresas de alimentos más grandes ahora utilizan una variedad de dispositivos IoT (Internet de las Cosas) y tecnología inteligente en sus procesos. El FBI señaló que las empresas agrícolas más grandes son el principal blanco porque pueden pagar rescates más altos. Las entidades más pequeñas son atacadas debido a su incapacidad para pagar una ciberseguridad de alta calidad.
Aunque los ciberdelincuentes utilizan una variedad de técnicas para infectar a las víctimas con ransomware, el medio de infección más común es el phishing por correo electrónico, vulnerabilidades del protocolo de escritorio remoto y vulnerabilidades de software
«De 2019 a 2020, la demanda promedio para el pago de rescate se duplicó y el pago promedio del seguro cibernético aumentó en un 65% de 2019 a 2020. Según un informe privado, la demanda de rescate más alta observada en 2020 fue de US$ 23 millones. Según el IC3 de 2020 Informe, IC3 recibió 2.474 quejas identificadas como ransomware con pérdidas de más de US$ 29,1 millones en todos los sectores «, dijo el FBI.
«Otros estudios separados han demostrado que entre el 50% y el 80% de las víctimas que pagaron un rescate experimentaron un nuevo ataque de ransomware por parte del mismo o de diferentes actores. Aunque los ciberdelincuentes utilizan una variedad de técnicas para infectar a las víctimas con ransomware, el medio de infección más común es el phishing por correo electrónico, vulnerabilidades del protocolo de escritorio remoto y vulnerabilidades de software».
La advertencia del FBI continúa enumerando múltiples ataques al sector de alimentos y agricultura desde noviembre, incluido un ataque de ransomware Sodinokibi / REvil a una empresa del sector panadero de EE. UU., el ataque al procesador de carne global JBS en mayo, un ataque de marzo de 2021 a una empresa de bebidas de EE. UU. y un ataque en enero a una granja estadounidense que causó pérdidas de aproximadamente US$ 9 millones.
JBS terminó pagando un rescate de US$ 11 millones al grupo de ransomware REvil después de que el ataque causó escasez de carne en EE. UU., Australia y otros países.
En noviembre, el FBI también citó un ataque a una empresa internacional de alimentos y agrícola con sede en EE.UU. que se vio afectada por una demanda de rescate de US$40 millones por parte del OnePercent Group. La empresa pudo recuperarse por medio de copias de seguridad y no pagó el rescate.
Medidas de Mitigación
El aviso enumera una serie de medidas que las empresas del sector de la alimentación y la agricultura pueden tomar para protegerse, incluidas las copias de seguridad, la segmentación de la red, la autenticación multifactorial y la supervisión proactiva de los registros de acceso remoto / RDP.
Los agentes de amenazas cibernéticas seguirán explotando las vulnerabilidades del sistema de red dentro del sector de la alimentación y la agricultura.
• Regularmente realizar copias de seguridad de los datos, air gap y copias de seguridad protegidas con contraseña sin conexión. Asegurar de que no se pueda acceder a copias de datos críticos para su modificación o eliminación del sistema donde residen los datos.
• Implementar la segmentación de la red.
• Implementar un plan de recuperación para mantener y retener múltiples copias de datos y servidores confidenciales o patentados en una ubicación segura, segmentada y físicamente separada (es decir, disco duro, dispositivo de almacenamiento, la nube).
• Instalar actualizaciones / parches de sistemas operativos, software y firmware tan pronto como se publiquen.
• Utilizar autenticación multifactor con contraseñas seguras siempre que sea posible.
• Utilizar contraseñas seguras y cambiar periódicamente las contraseñas de los sistemas de red y las cuentas, implementando el plazo más breve aceptable para los cambios de contraseña. Evitar reutilizar contraseñas para varias cuentas.
• Desactivar los puertos de acceso remoto / RDP no utilizados y supervisar los registros de acceso remoto / RDP.
• Requerir credenciales de administrador para instalar software.
• Auditar las cuentas de usuario con privilegios administrativos y configurar los controles de acceso con mínimos privilegios.
• Instalar y actualizar periódicamente software antivirus y antimalware en todos los hosts.
• Utilizar únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considerar instalar y usar una VPN.
• Considerar agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
• Desactivar los hipervínculos en los correos electrónicos recibidos.
• Centrarse en la sensibilización y la formación en seguridad cibernética. Brindar regularmente a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades de seguridad cibernética emergentes generales (es decir, ransomware y estafas de phishing).
El aviso llegó la misma semana en que CISA instó a las empresas a tener cuidado con los fines de semana largos, considerando la cantidad de ataques que se han producido durante las vacaciones de este año. El aviso advierte que los actores de amenazas saben que los equipos de TI viajan o salen de la oficina durante los fines de semanas largo