Redazione RHC : 24 octubre 2025 09:57
En septiembre, los especialistas de Forescout detectaron un ataque dirigido a su servidor honeypot, que imitaba el sistema de control de una planta de tratamiento de agua. Un nuevo grupo hacktivista , TwoNet , que opera en un entorno asociado con ataques a infraestructura industrial, se atribuyó la responsabilidad del ataque.
Los miembros del grupo accedieron a la interfaz, modificaron la configuración, eliminaron fuentes de datos y deshabilitaron algunos procesos sin intentar controlar el host. Su objetivo era demostrar su capacidad de interferencia y luego difundir la acusación de «secuestrar un sistema real» en un canal de Telegram.
El ataque comenzó por la mañana desde una dirección IP registrada en el proveedor de hosting alemán Dataforest GmbH. Se accedió al sistema con las credenciales predeterminadas «admin/admin». Tras iniciar sesión, los atacantes intentaron ejecutar consultas SQL para recopilar información sobre la estructura de la base de datos y crearon una nueva cuenta con el nombre de usuario » BARLATI «.
Unas horas después, regresaron con este nombre de usuario y reemplazaron el texto en la página de inicio de sesión, lo que generó una ventana emergente con el mensaje » HACKED BY BARLATI «. Simultáneamente, eliminaron los controladores conectados, cambiaron los valores de los parámetros y deshabilitaron los registros y las alertas. La vulnerabilidad CVE-2021-26829 se utilizó para falsificar el contenido de la página.
TwoNet surgió a principios de 2025 y ganó visibilidad rápidamente gracias a una combinación de afirmaciones agresivas y actividad caótica . Inicialmente, se especializó en ataques DDoS, pero posteriormente se dedicó a intentar interferir con los sistemas de control de procesos industriales . El canal de Telegram del grupo publica capturas de pantalla y vídeos supuestamente de interfaces SCADA y HMI de varias empresas. Las publicaciones mencionan el «hackeo» de paneles solares, sistemas de calefacción y calderas de biomasa en países europeos, pero no hay pruebas que respalden estas afirmaciones. Los analistas señalan que muchas de las imágenes provienen de paneles de demostración disponibles públicamente.
Las cuentas asociadas de TwoNet, como BARLATI y DarkWarios, también promocionaron ofertas comerciales: alquiler de acceso a paneles de control, servicios DDoS e incluso venta de ransomware a precios inflados. Esto sugiere un intento de monetizar la atención y presentarse como parte de una organización mayor. En las semanas previas al cierre del canal, los miembros del grupo anunciaron alianzas con otros grupos hacktivistas, como CyberTroops y OverFlame , lo que les permitió promocionarse mutuamente y crear la apariencia de una red más grande.
Los expertos señalan que sus honeypots también han registrado otros ataques a controladores industriales y protocolos Modbus, a menudo procedentes de direcciones de Europa y Oriente Medio. En un caso, los atacantes utilizaron contraseñas predeterminadas y explotaron la vulnerabilidad CVE-2021-26828 para inyectar una shell web y acceder a la configuración de la HMI. Otro incidente implicó intentos coordinados de modificar parámetros de PLC mediante Modbus y S7, lo que podría interrumpir procesos en sistemas reales.
El análisis reveló que los atacantes utilizan herramientas estándar, como Meta Sploit y scripts prediseñados , y su comportamiento indica una monitorización manual y un conocimiento básico de los protocolos del sector. Estos ataques suelen ejecutarse sin análisis previo y suelen dirigirse a dispositivos desprotegidos con acceso a internet.
Según Forescout, los grupos hacktivistas atacan cada vez más a objetivos industriales. Si bien los ataques reportados no están confirmados, demuestran una tendencia de interés y la posibilidad de ataques repetidos contra objetivos reales. Las empresas de los sectores del agua y la energía son particularmente vulnerables, ya que el acceso a las interfaces de operador o controlador a menudo no requiere autenticación, y el registro y la monitorización se realizan de forma selectiva.
Los expertos aconsejan a los propietarios de sistemas de control evitar la autenticación débil y el uso de contraseñas predeterminadas, no exponer las interfaces directamente a Internet, segmentar estrictamente las redes de TI y OT, restringir el acceso a los puertos administrativos mediante listas de IP e implementar la monitorización con inspección profunda de paquetes capaz de rastrear comandos Modbus y S7. También es importante prestar atención al tráfico saliente para evitar que los dispositivos se utilicen en ataques de denegación de servicio distribuido (DDoS).
El hacktivismo, según Forescout, se está convirtiendo en un ámbito donde el prestigio cibernético prima sobre los resultados . Los grupos desaparecen, cambian de nombre y reaparecen, pero sus miembros y métodos permanecen. Por ello, el análisis de honeypots se está convirtiendo en una herramienta clave para comprender la dirección de las nuevas oleadas de ataques a la infraestructura industrial.
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
