Riesgos y Amenazas Cibernéticas en los Entornos Nucleares

El ataque cibernético perpetrado contra la Comisión Nacional de Energía Atómica (CNEA) vino a recordar tanto el deber como la necesidad de proteger las infraestructuras críticas (IC) [1], principalmente en momentos sensibles o de transición.

El mismo día en que fue detectado el ataque (27/11/2024), Pandasecurity se hacía la siguiente pregunta en su blog: Ciberamenazas nucleares: ¿realmente hay un riesgo real? Y citando el comentario de Hervé Lambert (Global Consumer Operations Manager), expuso:

“Robar datos sensibles relacionados con diseños, protocolos de seguridad o materiales nucleares son objetivos valiosos para este tipo de ciberdelincuentes”
“Además, un ataque exitoso podría desactivar mecanismos de seguridad críticos, aumentando el riesgo de liberación radiactiva o sabotaje o podemos irnos a la extorsión en toda regla, que los propios ciberdelincuentes secuestren sistemas clave mediante ransomware, exigiendo grandes sumas de dinero para devolver el control a las autoridades”

Ante este panorama cibernético cada vez más complejo y hostil, me propongo brindar un aporte colaborativo con el objetivo de fortalecer la seguridad cibernética de las organizaciones, con un enfoque proactivo orientado a generar entornos más resilientes.

Contexto específico

Según la información oficial, la CNEA es un organismo autárquico dependiente de la Jefatura de Gabinete de Ministros, cuyas facultades y funciones están establecidas principalmente en la Ley Nacional de la Actividad Nuclear (Ley N° 24.804) y su decreto reglamentario N° 1.390/98.

Asimismo, es responsable de la aplicación del Régimen de Gestión de Residuos Radiactivos (Ley N° 25.018) y de la Convención Internacional Conjunta sobre la Seguridad en la Gestión de los Combustibles Gastados y la Seguridad en la Gestión de los Residuos Radiactivos, refrendada por la Ley N° 25.279.

La CNEA tiene entre sus objetivos:

• Investigar y desarrollar los usos pacíficos de la energía nuclear, impulsando la innovación por medio de la ciencia básica y aplicada en diferentes campos científicos y el entramado productivo.
• Lleva adelante múltiples proyectos de aplicación de la tecnología nuclear.
• Ha trabajado en el diseño, construcción y operación de reactores de investigación y de producción de radioisótopos; la fabricación de combustibles nucleares, de agua pesada y de cobalto 60; la construcción de paneles solares para los satélites argentinos, entre otros desarrollos científico-tecnológicos.
• Desarrolla tecnologías de alto valor agregado y las transfiere al sector productivo.

Argentina ha sido considerada como un país nuclear desde el inicio de sus actividades (1950). También posee centrales nucleares de potencia (potencia instalada total de tres plantas: 1763 MW) y reactores de investigación. La CNEA, junto a otros organismos y empresas tecnológicas (p. ej. INVAP), forma parte del sector nuclear argentino.

El encuadre fáctico y normativo anterior determina que se trata de una IC (Sectores: Energía, Nuclear y Estado, según Resolución Nº 1523/2019 – Secretaría de Gobierno de Modernización).

En retrospectiva

• Desde 2021 el ransomware ha presentado una serie de tendencias clave [2].
• En noviembre de 2023, la firma Resecurity advirtió sobre el aumento de las amenazas de ransomware en el sector energético, especialmente dirigidas a las industrias nuclear, de petróleo y de gas.
• En 2024, el 86% de las víctimas fueron atacadas durante fines de semana y días festivos (Semperis, 2024) y el 67% de las organizaciones de energía, petróleo/gas y servicios públicos se vieron afectadas por ransomware, cifra idéntica a la tasa de ataques reportada en 2023 (Sophos, 2024). Esto debe analizarse a la luz de las “Lecciones aprendidas de más de 100 casos de ransomware” de Lacnic: “Hemos detectado que pasa entre una y dos semanas desde que entran los atacantes a un sistema y ejecutan un ataque de ransomware” (08/06/2023).
• En 2024, según Semperis (2024), el 63% de las organizaciones encuestadas fueron atacadas durante un evento corporativo importante.
• Los atacantes de ransomware aman el uso de cuentas válidas para acceder a las organizaciones (Lacnic), ya sea que las usen en escritorios remotos (RDP) expuestos a internet, en VPNs sin MFA (Múltiple factor de autenticación).

Ver detalles del flujo de un ataque del ransomware Money Message paso a paso. Enlace: https://news.sophos.com/es-es/2023/11/02/el-ransomware-money-message-paso-a-paso/

A la dinámica anterior, hay que sumar la venta de accesos en foros de la dark web, y el repunte, p. ej. del foro RAMP (Ransomware and Advanced Malware Protection).

Las ciberamenazas en el ámbito nuclear

En 2016, la Iniciativa de Amenaza Nuclear (Nuclear Threat Initiative, NTI) reconoció la peligrosidad de la amenaza cibernética, en los siguientes términos:

«Una amenaza potencialmente aún más desafiante está poniendo en peligro estos avances: la amenaza cibernética»
«Los ciberataques podrían usarse para facilitar el robo de materiales nucleares o un acto de sabotaje que resulte en una liberación radiológica»
«Un ataque exitoso podría tener consecuencias que repercutan en todo el mundo y minen la confianza global en la energía nuclear civil como una fuente segura y confiable» (Page Stoutland).

Para intentar adelantarse, la NTI reunió a un grupo internacional de expertos técnicos y operativos, y le asignó la tarea de identificar los elementos fundamentales de una nueva estrategia y luego centrarse en aquellos que tendrían el mayor impacto posible.

A lo largo de 12 meses, el grupo identificó cuatro prioridades fundamentales:

Institucionalizar la ciberseguridad.
Implementar una defensa activa.
Reducir la complejidad.
Promover la transformación.

En el reporte de NTI de 2018, entre otras cosas, se remarcó que el riesgo de uso nuclear como el resultado de errores de cálculo o de uso no autorizado existía antes de que las amenazas cibernéticas se hicieran prevalentes, pero la amenaza cibernética exacerba esos riesgos y crea otros nuevos. La velocidad, el sigilo, imprevisibilidad y desafíos de atribución de cualquier ciberataque en particular hacen extremadamente difícil, si no imposible, anticipar, disuadir y defenderse contra todas las amenazas cibernéticas (NTI, 2018).

Del último reporte sobre el “Estado de la Industria de la Energía Nuclear” del Instituto de Energía Nuclear (NEI, 2024), presentado en el primer Foro de Política de Energía Nuclear, se extraen algunos aspectos interesantes:

“El mundo necesita más energía, y la necesitamos antes de lo previsto… Estamos viviendo tiempos dinámicos…»
“En los últimos años, el sector energético ha visto surgir—y converger—dos prioridades:
La necesidad de descarbonizar y la necesidad de lograr una mayor independencia y seguridad energética…”

“Los conflictos geopolíticos y los compromisos climáticos han obligado a las naciones a ver la energía nuclear con otros ojos. Han pasado de minimizar, o en algunos casos, desacelerar por completo, las iniciativas de energía nuclear a aumentarlas…”
“Y el año pasado, en la COP28, 25 países se comprometieron a triplicar la energía nuclear para 2050…” (El remarcado es propio).

**Fuente:** Extraído de Nuclear Threat Initiative. (2023).

A esta altura se debe poder advertir que los operadores nucleares deberían tener programas para fortalecer la cultura de seguridad dentro de sus organizaciones, con énfasis en la importancia de incluir diversas voces en el desarrollo del sistema de seguridad nuclear, implementación y gestión de vulnerabilidades (NTI Index 2023).

Ciberataques contra Centrales Nucleares* [3]

• 2003. Planta nuclear de Davis-Besse (Ohio, EE. UU). El gusano Slammer también conocido como Sapphire aprovechó una vulnerabilidad en SQL Server 2000 de Microsoft.
• 2009. Central Nuclear Comanche Peak (Texas, EE. UU). Generado por una amenaza interna (insider).
• 2010. Central Nuclear de Natanz (Irán). Se distribuyó el malware Stuxnet, desarrollado con la intención de destruir el programa nuclear iraní. Distribución de dispositivos USB [4] infectados como vector de ataque.
• 2014. Planta Nuclear Monju (Japón). Actualización de software no autorizada. Malware.
• 2014. Central hidroeléctrica y nuclear de Corea del Sur. Ataque atribuido por el gobierno a Corea del Norte.
• 2016. Central nuclear de Gundremmingen (Alemania). Se distribuyó malware (W32.Ramnit y Conficker) y posibles dispositivos USB infectados como vector de ataque.
• 2017. Planta de energía nuclear Wolf Creek (Kansas, EE. UU). Ataque de spear-phishing exitoso y acceso a la red.
Vinculado con Dragonfly 2.0. TEMP.Isotope, DYMALLOY, Berserk Bear, TG-4192, Crouching Yeti, IRON LIBERTY, Energetic Bear, Ghost Blizzard, BROMINE, Backdoor.Oldrea (Havex). Unidad 71330 de FSB.
• 2017. Central Nuclear de Chernóbil (Ucrania). Los sistemas de control de radiación del entorno fueron afectados por Petya.
• 2019. Planta de energía nuclear de Kudankulam (KKNPP) de la India. El Grupo Lazarus utilizó el malware Dtrack (también conocido como Preft, Valefor y TroyRAT). Existen antecedentes de distribución de Dtrack en LATAM (Kaspersky).
• 2021. Centrais Eletricas Brasileiras (Eletrobras) and Companhia Paranaense de Energia (Copel) de Brasil. En cuanto a la primera, el incidente ocurrió en su filial Eletronuclear y fue catalogado como un ataque de ransomware. Afectó a algunos de los servidores de la red administrativa y no tuvo impacto en las operaciones de las centrales nucleares Angra 1 y Angra 2. En el caso de Copel, el ataque fue obra del grupo de ransomware Darkside.
• 2022. Organización de Energía Atómica de Irán (AEOI). Uno de los servidores de correo electrónico de sus filiales fue pirateado después de que el grupo “Black Reward” (hacktivista) publicara en línea los datos robados.
En noviembre de 2022, Cyble Research & Intelligence Labs (CRIL) publicó el reporte titulado: “CyberThreats Mushrooming over Global Nuclear Facilities”, donde se analiza la distribución de documentos sensibles a través de la darkweb que suponen una amenaza para las organizaciones del sector Nuclear. Asimismo, se destacan los siguientes aspectos:
• Aunque las instalaciones nucleares están destinadas a estar aisladas, las redes mal configuradas, los activos expuestos y los dispositivos de TI/OT vulnerables con ataques de red y de ingeniería social pueden considerarse elementos críticos al lanzar ataques cibernéticos.
• En foros de ciberdelincuencia se ha filtrado una gran cantidad de datos confidenciales e información de identificación personal (PII) de organizaciones del sector crítico y empleados que trabajan en instalaciones nucleares. Por lo tanto, el lanzamiento de un ciberataque exitoso contra estas instalaciones podría volverse más frecuente.
• Los atacantes pueden aprovechar esta información filtrada para realizar más ataques dirigidos. La información filtrada sobre tipos de dispositivos, números de serie, proveedores, detalles de la versión, detalles del firmware, detalles de configuración, diagramas de red, documentos de licitación y detalles de los empleados son una mina de oro para los atacantes.
• Estos son clave para desarrollar cepas de malware especializadas, revertir el firmware para explotar vulnerabilidades de día cero y realizar movimientos laterales dentro de las organizaciones que se ocupan de la infraestructura nuclear.
• 2023. Central Nuclear de Fukushima (Japón). El colectivo Anonymous lanzó sendos ciberataques contra el sitio web de la central en cuestión, como así también de la Agencia de Energía Atómica y la Sociedad de Energía Atómica (DDoS).
• 2024. El Grupo Lazarus fue detectado atacando a ingenieros nucleares con el malware CookiePlus (19/12/2024). Campaña dirigida a empleados que trabajan en la misma organización relacionada con la energía nuclear en Brasil (Operation DreamJob, también conocida como “DeathNote”).
• 2024. Complejo Nuclear de Dimona (Israel). El colectivo Anonymous se adjudicó la destrucción de archivos y el robo de información (fuentes periodísticas).
Ciberataques a centrales nucleares en México
De acuerdo con diversas fuentes periodísticas que se basan en información provista por la Comisión Nacional de Seguridad Nuclear y Salvaguardias (CNSNS), el primer ciberataque que la CNSNS registró ocurrió en abril de 2021. Posteriormente, en enero y febrero de 2023, la Comisión sufrió dos ataques más, y el último ataque se registró en marzo de 2024 (atacantes presuntamente de Brasil).

Tendencias alarmantes

Según Dragos (Industrial Ransomware Analysis: Q3 2024), existe una tendencia creciente de grupos hacktivistas a integrar ransomware en sus operaciones, lo que indica un cambio significativo en las tácticas y el impacto potencial. Grupos como CyberVolk, Handala y KillSec aprovecharon el ransomware para amplificar la perturbación causada por sus campañas, desdibujando la línea entre el activismo ideológico y el ciberdelito con motivación financiera.

Por otra parte, la Oficina Federal de Investigaciones (FBI) y sus socios han advertido que un grupo cibernético patrocinado por Corea del Norte (RPDC/DPRK) conocido públicamente como Andariel [5], Onyx Sleet (anteriormente PLUTONIUM), DarkSeoul [6], Silent Chollima y Stonefly/Clasiopa, ataca principalmente entidades de defensa, aeroespaciales, nucleares y de ingeniería para obtener información técnica confidencial y clasificada, así como propiedad intelectual con el fin de impulsar las ambiciones y los programas militares y nucleares del régimen (Aviso de Seguridad: AA24-207A, 25/07/2024).

También, el FBI y sus socios, y Mandiant (ahora parte de Google), señalaron que ciertos actores de amenazas de Corea del Norte están combinando operaciones de ciberespionaje con despliegue de ransomware, es decir, la actividad con motivación financiera ocurre junto con la recopilación de inteligencia (motivación dual/híbrida).

En tal sentido, han utilizado ransomware desarrollado de forma privada, como Maui y H0lyGh0st. También se ha observado que los actores utilizan o poseen herramientas de cifrado disponibles públicamente, como BitLocker, Deadbolt, ech0raix, GonnaCry, Hidden Tear, Jigsaw, LockBit 2.0, My Little Ransomware, NxRansomware, Ryuk y YourRansom. En algunos casos, se han presentado como otros grupos de ransomware, como el grupo de ransomware REvil.

Además, según lo concluido en una reciente investigación de Unit 42, existe la posibilidad de que Andariel (también conocido como Jumpy Pisces), o una facción del grupo, esté colaborando con el grupo de ransomware Play, actuando potencialmente como un intermediario de acceso inicial (IAB) o un afiliado del grupo.

La Inteligencia de Ciberamenazas (CTI) y su papel en la Gestión de la Seguridad Física Nuclear. Análisis.

La Inteligencia de Ciberamenazas (Cyber Threat Intelligence, CTI), según la reciente definición provista por la Agencia de la Unión Europea para la Ciberseguridad (ENISA, 2024), involucra datos e información recopilados y analizados para comprender el panorama de amenazas e informar la toma de decisiones.

De acuerdo con el Centro de Tecnologías Emergentes de la Universidad Carnegie Mellon, la Ciberinteligencia es definida como: “La adquisición y el análisis de información para identificar, rastrear y predecir las capacidades, intenciones y actividades cibernéticas que apoye la toma de decisiones”.

Ahora que sabemos acerca de lo que trata la CTI, veamos que puede aportar esta disciplina a la seguridad del ecosistema nuclear.

Los Estados deberían definir los requisitos de seguridad nuclear para los materiales nucleares u otros materiales radiactivos y las instalaciones asociadas basándose en una Evaluación de Amenazas o una Amenaza Básica de Diseño (Design Basis Threat, DBT [7]).

Una DBT [8] describe las capacidades de posibles adversarios internos y externos que podrían intentar la eliminación no autorizada de materiales nucleares y otros materiales radiactivos o el sabotaje. El sistema de protección física del operador se diseña y evalúa en base al DBT (IAEA).

Según el Organismo Internacional de Energía Atómica (IAEA), los posibles adversarios externos incluyen terroristas y otros delincuentes que podrían intentar utilizar material nuclear u otro material radiactivo con fines maliciosos o sabotear una instalación. La amenaza interna [9] está relacionada con las personas que cuentan con acceso autorizado a las instalaciones, actividades o información sensible que podrían cometer actos maliciosos o ayudar a los adversarios externos a hacerlo.

Dada la naturaleza compleja y dinámica de la cuestión cibernética, la CTI puede contribuir en el desarrollo de la DBT (Cyber DBT), para contrarrestar las amenazas, disminuir la imprevisibilidad, profundizar en la atribución de los ciberataques, como así también, anticipar, disuadir y defenderse contra las amenazas cibernéticas.

Asimismo, puede brindar una visión holística de amenazas e ir más allá de los atributos o capacidades de los adversarios [10], abordando el perfilamiento de actores de amenazas, sus motivaciones y objetivos, las Tácticas, Técnicas y Procedimientos (TTP) utilizados, sucesos recientes e históricos [11], profundizar en sus posibles cursos de acción (COA) y recomendar acciones de mitigación específicas, ello en el marco de un Programa de Inteligencia de Amenazas [12], utilizando herramientas y los marcos analíticos adecuados (p. ej. MITRE ATT&CK).

Actores de Amenazas

**Fuente:** Extraído de Canadian Centre for Cyber Security (2022).

Vectores de ataque/amenaza
• Spear-phishing
• Ingeniería Social
• Dispositivos USB que pueden contener archivos maliciosos o malware
• Explotación de vulnerabilidades conocidas (software y hardware)
• Malware especializado
• Vulnerabilidades de día cero (Zero days)
• Ataques de abrevadero (Watering Hole)
• Ataques a la cadena de suministros (Supply Chain Attacks)
• Software troyanizado o actualizaciones infectadas (incluido actualizaciones de firmware y aplicaciones móviles SCADA descargables)
• Archivos troyanizados
• Denegación de Servicio o su versión distribuida (DoS/DDoS)
• Ataques combinados (físico-lógico).
• Ataques con drones 13
• Puertas traseras por defecto, p. ej. contraseñas o claves criptográficas harcodeadas.
• Ataques de fuerza bruta sobre dispositivos específicos
• Ataques sobre infraestructura en la nube
• Ataques sobre tecnologías “emergentes” en vías de implementación

• Entre muchos otros.

Desde el punto de vista de la Evaluación Nacional de Amenazas, se advierte que las guías del organismo rector internacional han receptado la amenaza de naturaleza cibernética y todo el proceso de su desarrollo incluido la DBT, se alinea con las actividades que son propias del Ciclo de Inteligencia.

Algunos Desafíos
• Apoyo de la Dirección y recursos económicos
• Reducida fuerza laboral con conocimientos de ciberseguridad ICS/OT
• Sobrecarga informativa
• Determinación de posibles fuentes de información
• Sensibilidad de la información
• Mecanismos de intercambio de información
• Fusión de fuentes de información
• Exhaustividad de la información
• Credibilidad de la información
• Obsolescencia de los sistemas ICS/OT
• Crecimiento exponencial de la superficie de ataque

Finalmente, CTI puede brindar la anticipación y el contexto necesarios para formular un enfoque de defensa proactivo, además de generar información accionable para la toma de decisiones. A su vez, posee la orientación y la flexibilidad necesaria para operar de forma iterativa junto con otros equipos (Red Team, Blue Team y Purple Team), dar respuestas y emitir juicios sobre amenazas emergentes (monitoreo), colaborar en el diseño y evaluación de sistemas y medidas de seguridad, y la creación de escenarios de ataque.

En línea con los estándares internacionales y buenas prácticas (Ordenes Ejecutivas 13636 y 14028 de EE. UU), el alcance de la protección y la seguridad debe incluir los sistemas que procesan datos (tecnología de la información, TI) y aquellos que hacen funcionar la maquinaria vital que garantiza nuestra seguridad (tecnología operativa, OT).

Como bien señaló Go Rebultan (2023), no se puede subestimar la importancia de los sistemas ICS/OT [14] en infraestructuras críticas. Cualquier interrupción de estos sistemas puede tener consecuencias graves, incluida la pérdida de vidas, daños ambientales y pérdidas económicas. Además, el impacto de los ciberataques en estos sistemas puede ser significativo, ya que los atacantes pueden obtener acceso no autorizado, manipular procesos o causar daños físicos [15].

Notas

[1] Son interdependientes. Se puede ver gráficamente en ENISA (2017), pág. 21.
[2] Aviso de Seguridad de la NSA de fecha 09/02/2022: “CISA, FBI, NSA and International Partners Issue Advisory on Ransomware Trends from 2021”
Enlace: https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2928709/cisa-fbi-nsa-and-international-partners-issue-advisory-on-ransomware-trends-fro/
[3] Esta lista no pretende ser exhaustiva.
[4] Son las siglas de Universal Serial Bus.
[5] La actividad atribuida a APT45 por Mandiant ha sido reportada públicamente como “Andariel”, “Onyx Sleet”, “Stonefly” y “Silent Chollima”. También se informa con frecuencia que la actividad del grupo está vinculada al “Grupo Lazarus”.
[6] El grupo APT conocido como Dark Seoul atacó una agencia gubernamental Argentina en abril de 2022. El análisis preliminar arrojó que los atacantes utilizaron una cuenta con privilegios para ejecutar varios archivos en el sistema y ejecutar un archivo malicioso conocido como HolyGhost Ransomware.
[7] Término específico utilizado en el contexto normativo y guías de buenas prácticas. Fue introducido por la Comisión Reguladora Nuclear de Estados Unidos (Nuclear Regulatory Commission, NRC). También lo utilizan organismos como la Oficina para la Regulación Nuclear del Reino Unido (Office for Nuclear Regulation, ONR).
[8] Se recomienda ver la presentación de Jacob Benjamin titulada: “Using ATT&CK To Create Cyber DBTs For Nuclear Power Plants”, diciembre de 2020. Youtube. Disponible desde https://youtu.be/xbnSuKTMkKo
[9] En 2009, agentes del FBI arrestaron al ex empleado (Dong Chul Shin) de la firma Energy Future Holdings, propietaria de tres empresas generadoras de electricidad en Texas que gestionan instalaciones, incluida la central nuclear de Comanche Peak. Horas después del despido sin previo aviso, la cuenta de acceso VPN de Dong (que se dejó activa) supuestamente se utilizó para iniciar sesión en la intranet corporativa antes de modificar y eliminar archivos. La información confidencial de la empresa también se transfirió a una cuenta de correo web personal vinculada a Dong, según los investigadores.
[10] La NRC exige que las plantas de energía diseñen, implementen y evalúen sus programas de seguridad física y cibernética para defenderse contra una DBT. En respuesta a la creciente amenaza de ataques cibernéticos, la NRC modificó sus requisitos DBT en 2007 para incluir un ciberataque como atributo del adversario. La NRC describe un ciberataque como: «La capacidad de explotar las vulnerabilidades de los sistemas informáticos y de comunicaciones del sitio para modificar o destruir datos y códigos de programación, negar el acceso a los sistemas e impedir el funcionamiento del sistema informático y del equipo que controla».

[11] Ver en extenso el punto 5.19 de la Guía de Aplicación. Evaluación nacional de amenazas para la seguridad física nuclear, amenazas base de diseño y declaraciones de amenazas representativas. Colección de Seguridad Física Nuclear del OIEA N° 10-G (Rev. 1).
[12] Mitre ATT&CK M1019 y M0919 .
[13] Un dron impactó y dañó gravemente un vehículo oficial de la IAEA en la carretera que conduce a la central nuclear de Zaporizhzhya en Ucrania (10/12/2024).
[14] Es fundamental disipar los mitos comunes relacionados con la ciberseguridad de ICS/OT. Lectura recomendada: “Common ICS Cybersecurity Myths: Lessons Learned” de Global Cybersecurity Alliance. https://gca.isa.org/blog/common-ics-cybersecurity-myths-lessons-learned
[15] Triton/Trisis fue el primer malware ICS dirigido específicamente a equipos de seguridad (safety).

Referencias

Bleeping Computer. (2021, 5 de febrero). Eletrobras, Copel energy companies hit by ransomware attacks. https://www.bleepingcomputer.com/news/security/eletrobras-copel-energy-companies-hit-by-ransomware-attacks/

Canadian Centre for Cyber Security (2022). An Introduction to the Cyber Threat Environment.

Cyble. (2022, 14 de noviembre). Cyberthreats mushrooming over global nuclear facilities. Cyble. https://cyble.com/blog/cyberthreats-mushrooming-over-global-nuclear-facilities/amp/

Darkreading. (2023, 30 de agosto). A Brief History of ICS-Tailored Attacks. https://www.darkreading.com/cyberattacks-data-breaches/brief-history-of-ics-tailored-attacks

Dragos. (2024, 17 de diciembre). Dragos Industrial Ransomware Analysis: Q3 2024. https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q3-2024/

Dragos. (s.f.) Wassonite. https://www.dragos.com/threat/wassonite/

ENISA. (2017). Communication network dependencies for ICS/SCADA Systems.

Go Rebultan M.A. (2023, 6 de abril). Introduction to ICS/OT Systems and their Role in Critical Infrastructure. ISACA. https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/introduction-to-ics-ot-systems-and-their-role-in-critical-infrastructure

Gobierno de Argentina. (s.f.). Centrales nucleares en Argentina. Gobierno de Argentina. https://www.argentina.gob.ar/economia/energia/energia-electrica/nuclear/centrales

Gobierno de Argentina. (s.f.). Investigación y desarrollo en la Comisión Nacional de Energía Atómica. Gobierno de Argentina. https://www.argentina.gob.ar/cnea/investigacion-y-desarrollo

Gobierno de Argentina. (s.f.). ¿Qué es la Comisión Nacional de Energía Atómica?. Gobierno de Argentina. https://www.argentina.gob.ar/que-es-la-comision-nacional-de-energia-atomica/organizacion

Global Cybersecurity Alliance (s.f.). Common ICS Cybersecurity Myths: Lessons Learned. https://gca.isa.org/blog/common-ics-cybersecurity-myths-lessons-learned

Heimdal Security. (2022, 26 de octubre). Iran’s Atomic Energy Agency confirms hack. Heimdal Security. https://heimdalsecurity.com/blog/irans-atomic-energy-agency-confirms-hack/

INCIBE. (2024, 21 de marzo). Mapeo de Dragonfly 2.0 sobre la Matriz ICS de MITRE ATT&CK. https://www.incibe.es/incibe-cert/blog/mapeo-de-dragonfly-20-sobre-la-matriz-ics-de-mitre-attck

Industrial Cyber. (2023, 20 de noviembre). ReSecurity warns of rising ransomware threats in energy sector, particularly targeting nuclear, oil, and gas industries. Industrial Cyber. https://industrialcyber.co/reports/resecurity-warns-of-rising-ransomware-threats-in-energy-sector-particularly-targeting-nuclear-oil-and-gas-industries/

Industrial Cybersecurity Pulse. (2022, 24 de febrero). Throwback attack: Russia breaches Wolf Creek Nuclear Power facility. https://www.industrialcybersecuritypulse.com/facilities/throwback-attack-russian-breaches-wolf-creek-nuclear-power-facility/

Industrial Cybersecurity Pulse. (2022, 4 de agosto). Throwback attack: An Indian nuclear power plant falls victim to outdated policies. https://www.industrialcybersecuritypulse.com/facilities/throwback-attack-an-indian-nuclear-power-plant-falls-victim-to-outdated-policies/

International Atomic Energy Agency. (s.f.). Design basis threat for the security of nuclear and other radioactive material. International Atomic Energy Agency. https://www.iaea.org/topics/security-of-nuclear-and-other-radioactive-material/design-basis-threat

International Atomic Energy Agency. (2022). Evaluación nacional de amenazas para la seguridad física nuclear, amenazas base de diseño y declaraciones de amenazas representativas. Colección de Seguridad Física Nuclear del OIEA N° 10-G (Rev. 1). Guía de Aplicación.

International Atomic Energy Agency. (2024, 10 de diciembre). IAEA Vehicle Hit by Drone. https://www.iaea.org/newscenter/multimedia/videos/iaea-vehicle-hit-by-drone

Kaspersky. (2024, 19 de diciembre). Kaspersky discovers Lazarus APT targets nuclear organizations with new CookiePlus malware. https://www.kaspersky.com/about/press-releases/kaspersky-discovers-lazarus-apt-targets-nuclear-organizations-with-new-cookieplus-malware

LACNIC. (2023, 8 de junio). Lecciones aprendidas de más de 100 casos de ransomware. LACNIC. https://blog.lacnic.net/lecciones-aprendidas-de-mas-de-100-casos-de-ransomware/

Mandiant. (2023, 28 de marzo). APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations. https://cloud.google.com/blog/topics/threat-intelligence/apt43-north-korea-cybercrime-espionage

Mandiant. (2024, 25 de julio). APT45: North Korea’s Digital Military Machine. https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine

National Security Agency. (2022, 9 de febrero). CISA, FBI, NSA, and international partners issue advisory on ransomware trends from 2021. National Security Agency. https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2928709/cisa-fbi-nsa-and-international-partners-issue-advisory-on-ransomware-trends-fro/

Nalabandian, M., Van Dine, A., & Stoutland, P. (2016). Global action on cybersecurity at nuclear facilities: Moving beyond the status quo. Nuclear Threat Initiative.

Nucleoeléctrica Argentina. (s.f.). Institutional: Nucleoeléctrica Argentina S.A. Nucleoeléctrica Argentina. https://www.na-sa.com.ar/es/Institucional

Nuclear Regulatory Commission. (s.f.). Design basis threat for the security of nuclear reactors. Nuclear Regulatory Commission. https://www.nrc.gov/security/faq-dbtfr.html

Nuclear Energy Institute. (2024, 16 de mayo). State of the nuclear energy industry. Nuclear Energy Institute. https://www.nei.org/news/2024/state-of-the-nuclear-energy-industry

Nuclear Threat Initiative. (s. f.). Outpacing cyber threats: Priorities for cybersecurity at nuclear facilities. Recuperado el 19 de diciembre de 2024, de https://www.nti.org/analysis/articles/outpacing-cyber-threats-priorities-cybersecurity-nuclear-facilities/

Nuclear Threat Initiative. (2018). Nuclear Weapons in the New Cyber Age. Report of the Cyber Nuclear Weapons study group.

Nuclear Threat Initiative. (2023). Nuclear Security Index. Falling Short in a Dangerous World

Paganini P. (2016, 14 de octubre). Cyber-attacks Against Nuclear Plants: A Disconcerting Threat. https://www.infosecinstitute.com/resources/scada-ics-security/cyber-attacks-against-nuclear-plants-a-disconcerting-threat/

Panda Security. (2024, 27 de noviembre). Ciberamenazas nucleares: ¿realmente hay riesgo real? Panda Security. https://www.pandasecurity.com/es/mediacenter/ciberamenazas-nucleares-realmente-hay-riesgo-real/

Rapid7. (2024, 20 de agosto). Selling ransomware breaches: 4 trends spotted on the Ramp forum. Rapid7. https://www.rapid7.com/blog/post/2024/08/20/selling-ransomware-breaches-4-trends-spotted-on-the-ramp-forum/

Reuters. (2015, 17 de marzo). South Korea blames North Korea for December hack on nuclear operator. Reuters. https://www.reuters.com/article/world/south-korea-blames-north-korea-for-december-hack-on-nuclear-operator-idUSKBN0MD0GR/

Securelist. (2022, 20 de noviembre). DTrack activity targeting Europe and Latin America. https://securelist.com/dtrack-targeting-europe-latin-america/107798/

Semperis. (s.f.). Ransomware holiday risk report. Semperis. https://www.semperis.com/ransomware-holiday-risk-report/

SocRadar. (2022, 4 de noviembre). Hacktivist group Black Reward leaked Iran nuclear program secrets. SocRadar. https://socradar.io/hacktivist-group-black-reward-leaked-iran-nuclear-program-secrets/

Sophos. (2023, 2 de noviembre). El ransomware «Money Message» paso a paso. Sophos. https://news.sophos.com/es-es/2023/11/02/el-ransomware-money-message-paso-a-paso/

Sophos. (2024, 17 de julio). The state of ransomware in critical infrastructure 2024. Sophos. https://news.sophos.com/en-us/2024/07/17/the-state-of-ransomware-in-critical-infrastructure-2024/?amp=1

The Hacker News. (2014, 10 de enero). Rogue software update causes malware in critical infrastructure. The Hacker News. https://thehackernews.com/2014/01/rogue-software-update-cause-malware_9.html

The Hacker News. (2024, 20 de diciembre). Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware. The Hacker News. https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html

The Hacker News. (2024, 29 de mayo). Microsoft Uncovers ‘Moonstone Sleet’ — New North Korean Hacker Group. https://thehackernews.com/2024/05/microsoft-uncovers-moonstone-sleet-new.html?m=1

The White House. (2021, 12 de mayo). Executive Order on improving the nation’s cybersecurity. The White House. https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

The Register. (2009, 1 de junio). Feds quiz former worker over Texas power plant hack. https://www.theregister.com/2009/06/01/texas_power_plant_hack/

Trend Micro. (2016, 27 de abril). Malware discovered in German nuclear power plant. Trend Micro. https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/malware-discovered-in-german-nuclear-power-plant

U.S. Department of Justice (2022, 24 de marzo). Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide. https://www.justice.gov/opa/pr/four-russian-government-employees-charged-two-historical-hacking-campaigns-targeting-critical

U.S. Department of Justice, CISA. (2020). Nuclear Sector. Cybersecurity Framework Implementation Guidance.