El sector del automóvil es una industria muy potente en constante crecimiento, movilizado cada vez mayores cantidades de dinero. Este componente económico sumado a la aplicación de la innovación tecnológica (vehículos conectados,  autónomos, etc.), sitúan tanto a empresas como entidades del sector en el punto de mira de los ciberatacantes.

S21sec ha analizado en detalle la actividad cibernética de la industria del automóvil a lo largo de 2022, identificando un incremento considerable de incidentes de distinta naturaleza. Gran parte de los ciberataques detectados han tenido como vector inicial de entrada la explotación por parte de los cibercriminales de alguna vulnerabilidad en la infraestructura de destino de las organizaciones afectadas, pero también se han identificado ataques de ransomware, venta de accesos, venta de bases de datos y brechas de datos, entre otros.  

En este sentido, los expertos advierten que en los próximos meses los actores maliciosos mantendrán su actividad cibercriminal en alza contra empresas de este sector. “La industria automovilística está implementando de manera constante las tecnologías más avanzadas con el objetivo de automatizar y agilizar los procesos industriales, e incorporar las prestaciones más punteras en sus productos. Pero la automatización también trae consigo nuevos riesgos en el ámbito de la ciberseguridad que las compañías deben tener en cuenta para hacer frente a cualquier posible amenaza” apunta Sonia Fernández, responsable de Inteligencia de S21sec.

El ransomware, una amenaza inminente

El ransomware, un tipo de malware cuya finalidad es acceder a uno o varios equipos para cifrar la información de un objetivo, ya sea un usuario o entidad, y pedir un rescate a cambio de su devolución, se ha consolidado como una de las principales amenazas a las que la industria del automóvil se puede enfrentar. Hasta septiembre de este año se han producido 41 ataques de ransomware dirigidos contra organizaciones del sector, destacando el mes de marzo por el elevado número de incidencias. 

Los grupos de ransomware que más se han dirigido a este sector han sido Lockbit, con 10 ataques contra empresas automovilísticas, y Conti, con 8. Independientemente del sector, estos dos grupos han sido de los más activos durante el 2022; aunque es posible que en los próximos meses la tendencia cambie, ya que tanto Conti como Lockbit han visto cesada su actividad tras la publicación de sus respectivos códigos fuente.

Este tipo de malware ha ido evolucionando hacia ataques de ransomware de doble y triple extorsión. Cuando se trata de un ataque de doble extorsión, los ciberdelincuentes amenazan a la víctima con publicar o vender la información que han cifrado. En el caso de la triple extorsión, además de amenazar a la víctima con publicar los datos robados, el autor presiona a sus clientes y a sus proveedores exigiendo dicho rescate.

Venta de información sensible en la Deep Web

S21sec también ha identificado un incremento de las ventas de accesos iniciales en foros underground por parte de los denominados initial access brokers o intermediarios de acceso inicial. Estos actores se encargan de obtener diferentes tipos de acceso a empresas (como credenciales, accesos a VPN o RDP) a través de la utilización de diferentes tácticas, técnicas y procedimientos, que posteriormente venderán en distintos foros underground o a afiliados de grupos ransomware. Durante el periodo analizado se han encontrado 24 ventas de accesos iniciales a empresas del sector automovilístico en diferentes foros como Exploit, RAMP o XSS.

Por otro lado, también se han visto comprometidas las bases de datos de varias empresas de la industria del automóvil. Esta información privada constituye uno de los pilares fundamentales sobre los cuales se mantiene el modelo de negocio de las organizaciones, ya que está relacionada con los productos o servicios que ofrecen y permiten diferenciarlos de la competencia, almacenan información confidencial de clientes, trabajadores, proveedores, etc.  Durante este año, S21sec ha identificado 8 ventas de bases de datos a distintas empresas relacionadas con el mundo del automóvil en los foros underground y en mercados de la deep web como Exchange Market.

“La pérdida o la adquisición de este tipo de información por terceras partes ajenas a la compañía, pueden ocasionar una crisis en la misma y llevarla a la quiebra. La mayor parte de este tipo de ventas se producen, principalmente, cuando los cibercriminales consiguen acceder a la infraestructura de la compañía, ya sea mediante ataques de ingeniería social, la explotación de vulnerabilidades o a través de insiders, personal de la compañía que facilita información a los atacantes a cambio de una recompensa generalmente económica, aunque pueden ser también víctimas de una extorsión”, asegura Sonia Fernández.

Recomendaciones para las empresas

Resulta fundamental que las organizaciones que forman parte de la industria del automóvil se mantengan en alerta y comiencen a tomar medidas de precaución con el objetivo de evitar ser víctimas de cualquier tipo de ciberataques. En este sentido, los expertos de S21sec comparten las siguientes recomendaciones para estas empresas dedicadas, principalmente, a la fabricación y venta de vehículos:

• Concienciar a los equipos en materias de ciberseguridad. El factor humano es, en la mayoría de los casos, lo que permite que se produzcan incidentes.

• Implementar políticas de ciberseguridad en las empresas. Por ejemplo, utilizar contraseñas con más de 8 caracteres que combinen letras, números y teclas especiales; no emplear el correo corporativo para registros en sitios web ajenos a la entidad, prestar atención a correos electrónicos emitidos por personas desconocidas, etc.

• Implementar los parches de seguridad que publican diferentes empresas para corregir las vulnerabilidades del sistema (Microsoft Patch). 

• Mantener en constante actualización los sistemas operativos, antivirus y programas de detección, entre otros.