Casi una quinta parte de las organizaciones afectadas por la puerta trasera de Sunburst como resultado del ataque a la cadena de suministro de SolarWinds, que aprovechó las actualizaciones del software de gestión de red Orion de la empresa, pertenecen al sector de fabricación, según un nuevo análisis de Kaspersky.

Aunque los investigadores ya han descubierto detalles técnicos de la puerta trasera Sunburst que se incorporó a Orion SolarWinds a fines del año pasado, el impacto del ataque aún se está investigando. Se confirmó oficialmente que alrededor de 18.000 usuarios pueden haber instalado versiones de la puerta trasera en Orion SolarWinds, dejándolo potencialmente en riesgo de nuevos ataques, pero Kaspersky buscó más información sobre los tipos de organizaciones afectadas.

Para hacer esto, los investigadores de Kaspersky ICS CERT compilaron una lista de casi 2,000 dominios legibles y atribuibles de los nombres de dominio internos decodificados disponibles, obtenidos de los nombres DNS generados por el algoritmo de generación Sunburst DomainName. Esto mostró que alrededor de un tercio (32,4%) de todas las víctimas eran del sector industrial, siendo la manufactura (18,11% de todas las víctimas), con mucho, el más afectado. Le siguieron los servicios públicos (3,24%), construcción (3,03%), transporte y logística (2,97%) y petróleo y gas (1,35%).

Las regiones en las que se basaban estas industrias eran amplias, incluidas Benin, Canadá, Chile, Djibouti, Indonesia, Irán, Malasia, México, Países Bajos, Filipinas, Portugal, Rusia, Arabia Saudita, Taiwán, Uganda y Estados Unidos.

“El software SolarWinds está altamente integrado en muchos sistemas alrededor del mundo en diferentes sectores y, como resultado, la escala del ataque Sunburst es incomparable, aunque muchas organizaciones que se vieron afectadas pueden no haber sido de interés para los atacantes inicialmente. Aunque no tenemos evidencia de un ataque de segunda etapa entre estas víctimas, no debemos descartar la posibilidad de que pueda ocurrir en el futuro. Por lo tanto, es fundamental que las organizaciones que puedan ser víctimas del ataque descarten la infección y se aseguren de que cuentan con los procedimientos correctos de respuesta a incidentes “, advierte Maria Garnaeva, investigadora senior de seguridad de Kaspersky.

La compañía de ciberseguridad dijo que las víctimas potenciales del compromiso de SolarWinds deben verificar que hayan instalado versiones de la puerta trasera y buscar indicadores conocidos de compromiso, como se muestra en la Alerta. AA20-35A de CISA.

A medida que continúan las consecuencias del incidente de alto perfil, varios otros proveedores de ciberseguridad a principios de esta semana revelaron que fueron atacados por los mismos agentes de amenazas que comprometieron a SolarWinds.

Casi una quinta parte de las organizaciones afectadas por la puerta trasera de Sunburst como resultado del ataque a la cadena de suministro de SolarWinds, que aprovechó las actualizaciones del software de gestión de red Orion de la empresa, pertenecen al sector de fabricación, según un nuevo análisis de Kaspersky.

Aunque los investigadores ya han descubierto detalles técnicos de la puerta trasera Sunburst que se incorporó a Orion SolarWinds a fines del año pasado, el impacto del ataque aún se está investigando. Se confirmó oficialmente que alrededor de 18.000 usuarios pueden haber instalado versiones de la puerta trasera en Orion SolarWinds, dejándolo potencialmente en riesgo de nuevos ataques, pero Kaspersky buscó más información sobre los tipos de organizaciones afectadas.

Para hacer esto, los investigadores de Kaspersky ICS CERT compilaron una lista de casi 2,000 dominios legibles y atribuibles de los nombres de dominio internos decodificados disponibles, obtenidos de los nombres DNS generados por el algoritmo de generación Sunburst DomainName. Esto mostró que alrededor de un tercio (32,4%) de todas las víctimas eran del sector industrial, siendo la manufactura (18,11% de todas las víctimas), con mucho, el más afectado. Le siguieron los servicios públicos (3,24%), construcción (3,03%), transporte y logística (2,97%) y petróleo y gas (1,35%).

Las regiones en las que se basaban estas industrias eran amplias, incluidas Benin, Canadá, Chile, Djibouti, Indonesia, Irán, Malasia, México, Países Bajos, Filipinas, Portugal, Rusia, Arabia Saudita, Taiwán, Uganda y Estados Unidos.

“El software SolarWinds está altamente integrado en muchos sistemas alrededor del mundo en diferentes sectores y, como resultado, la escala del ataque Sunburst es incomparable, aunque muchas organizaciones que se vieron afectadas pueden no haber sido de interés para los atacantes inicialmente. Aunque no tenemos evidencia de un ataque de segunda etapa entre estas víctimas, no debemos descartar la posibilidad de que pueda ocurrir en el futuro. Por lo tanto, es fundamental que las organizaciones que puedan ser víctimas del ataque descarten la infección y se aseguren de que cuentan con los procedimientos correctos de respuesta a incidentes “, advierte Maria Garnaeva, investigadora senior de seguridad de Kaspersky.

La compañía de ciberseguridad dijo que las víctimas potenciales del compromiso de SolarWinds deben verificar que hayan instalado versiones de la puerta trasera y buscar indicadores conocidos de compromiso, como se muestra en la Alerta. AA20-35A de CISA.

A medida que continúan las consecuencias del incidente de alto perfil, varios otros proveedores de ciberseguridad a principios de esta semana revelaron que fueron atacados por los mismos agentes de amenazas que comprometieron a SolarWinds.