Amenazas en los sistemas de automatización industrial

Estos programas incluyen familias como Sality, Nimnul y Virut, que vienen siendo detectados durante muchos años atras. Aunque estas familias maliciosas se consideran obsoletas porque sus servidores de comando y control han estado inactivos durante mucho tiempo,
suelen hacer una contribución significativa a las estadísticas debido a su autopropagación y a medidas insuficientespara su neutralización.

Estos archivos se bloquean principalmente en medios extraíbles. son parte de la
mecanismo de distribución para familias más antiguas como Andromeda/Gamarue, Dorkbot, Jenxcus/Dinihou y otros.
Esta categoría también incluye una amplia variedad de archivos LNK con el CVE-2010-2568
vulnerabilidad, que primero fue explotada para distribuir el gusano Stuxnet y ya más tarde fue explotado para difundir muchas otras familias, como Sality, Nimnul / Ramnit, Zeus, Vobfus, etc.
Hoy en día, los archivos LNK disfrazados de documentos legítimos se pueden usar como parte de un ataque en varias etapas. Ejecutan un script de PowerShell que descarga un archivo malicioso.
En casos excepcionales, el script malicioso de PowerShell descarga código binario, una modificación especialmente diseñada de una puerta trasera TCP pasiva de Metasploit kit e inyecta el código en la memoria.

Los antivirus  protegen una computadora cuando los programas instalados en ella (navegadores,
clientes de correo electrónico, módulos de actualización automática de aplicaciones y otros) intentan
conectarse a direcciones IP y URL denegadas. Dichos recursos web son asociados de alguna manera con la distribución o el control de malware.
Específicamente, los recursos denegados incluyen, entre otros, aquellos utilizados para distribuir malware como Trojan-Spy o ransomware disfrazado de utilidades para descifrar o restablecer contraseñas en controladores de varios fabricantes, o como
grietas/parches para software industrial y de ingeniería utilizados en las redes industriales.

Suelen aparecer en numerosos correos electrónicos de phishing enviados a empresas industriales, el objetivo final de tales ataques es robar dinero.

Generalmente se propagan a través de medios extraíbles y recursos compartidos de red, así como gusanos
distribuidos por correo electrónico (Email-Worm), vulnerabilidades de red (Net-Worm) y mensajería instantánea (IM-Worm).
La mayoría de los gusanos están obsoletos de la red punto de vista de la infraestructura. Sin embargo, también existen gusanos como Zombaque que implementan una arquitectura de red P2P que permita a los actores de amenazas activarlos en cualquier punto.

Su característica principal es que ejecutan automáticamente al iniciar el sistema o cuando se conectan medios extraíbles.

Estos archivos provienen de una variedad de familias que tienen una cosa en común:
ejecución automática La funcionalidad menos dañina de dichos archivos se inicia automáticamente
el navegador con una página de inicio predefinida. En la mayoría de los casos, los programas maliciosos
que usan autorun.inf son modificaciones de malware de antiguas familias (Palevo, Sality, Kido, etc.).

Vale la pena señalar que el malware para AutoCad, específicamente los virus informáticos, son principalmente detectado en equipos que forman parte de redes industriales como estaciones de trabajo y de ingeniería.

• Scripts maliciosos y páginas de phishing (JS y HTML).
• Exploits del navegador.
• Documentos maliciosos (MSOffice + PDF) que contienen exploits, macros maliciosos o
enlaces maliciosos.
• Secuestro de datos (Ransomware)
• Mineros web que se ejecutan en navegadores.
• Mineros en forma de archivos ejecutables para Windows.
• Troyanos bancarios.
• Archivos maliciosos para dispositivos móviles