## Ransomware paraliza los ingenios de Mackay Sugar, el segundo mayor productor australiano

### Introducción

El sector agroindustrial vuelve a estar en el punto de mira de los cibercriminales. Mackay Sugar, el segundo mayor productor de azúcar de Australia, ha sufrido un ciberataque de ransomware que ha obligado al cierre temporal de sus ingenios. El incidente, atribuido al grupo de amenazas conocido como The Gentlemen, ha puesto en jaque la actividad de la organización y ha generado preocupación entre los profesionales de la ciberseguridad industrial, dadas las implicaciones operativas y financieras que conlleva.

### Contexto del Incidente

Mackay Sugar Limited gestiona varios ingenios azucareros clave en el estado de Queensland. En los últimos años, la digitalización de los procesos industriales y la creciente dependencia de sistemas de control industrial (ICS/SCADA) han incrementado la superficie de ataque de este tipo de infraestructuras críticas. El incidente fue detectado tras la interrupción repentina de las operaciones, que rápidamente se atribuyó a un acceso no autorizado y la posterior ejecución de un ransomware. El grupo The Gentlemen, relativamente nuevo pero con antecedentes en ataques dirigidos a infraestructuras críticas, reivindicó la acción.

### Detalles Técnicos: CVE, Vectores de Ataque y Tácticas Utilizadas

Aunque los detalles técnicos completos aún están bajo investigación, fuentes cercanas a la investigación han confirmado que el acceso inicial al entorno de Mackay Sugar se produjo mediante la explotación de una vulnerabilidad conocida en sistemas Windows Server expuestos a Internet. Es probable que se haya aprovechado alguna CVE reciente, como la CVE-2023-23397 (vulnerabilidad en Microsoft Outlook) o la CVE-2023-28252 (elevación de privilegios en Windows Common Log File System), ambas aprovechadas este año en campañas de ransomware dirigidas.

El vector de ataque inicial parece haber involucrado spear phishing dirigido a empleados con privilegios en sistemas críticos, utilizando archivos adjuntos maliciosos o enlaces que descargaban un payload cifrado. Posteriormente, los atacantes desplegaron herramientas de post-explotación, como Cobalt Strike y PowerShell Empire, para el movimiento lateral. Se han observado TTPs alineadas con MITRE ATT&CK, especialmente las técnicas T1071 (Application Layer Protocol), T1569 (System Services: Service Execution) y T1486 (Data Encrypted for Impact).

Indicadores de Compromiso (IoC) compartidos por la compañía incluyen hashes de archivos ejecutables relacionados con variantes de ransomware utilizadas previamente por The Gentlemen, conexiones a dominios sospechosos y la presencia de scripts PowerShell ofuscados.

### Impacto y Riesgos

El ataque ha resultado en el cifrado de sistemas críticos, incluyendo servidores de control de procesos y sistemas de gestión de la cadena de suministro. Esto ha obligado a la interrupción de la producción en todos los ingenios de la empresa durante al menos 48 horas, afectando a más de 600 empleados y a decenas de proveedores.

El impacto económico inicial se estima en varios millones de dólares australianos, considerando tanto la pérdida de producción como los costes asociados a la recuperación de sistemas y la posible filtración de datos regulatorios bajo la Ley de Privacidad Australiana y el GDPR europeo, dado que la empresa mantiene relaciones comerciales internacionales.

El incidente también plantea riesgos en cascada para el sector agroindustrial, al demostrar la fragilidad de la cadena de suministro ante ciberataques dirigidos y la posible explotación de vulnerabilidades no parcheadas en entornos industriales híbridos.

### Medidas de Mitigación y Recomendaciones

Mackay Sugar ha iniciado la restauración de sistemas a partir de copias de seguridad offline y ha reforzado la segmentación de redes OT/IT. Los expertos recomiendan:

– **Aplicar parches de seguridad** de forma prioritaria, especialmente en sistemas expuestos a Internet y servidores críticos.
– **Implementar segmentación de red** estricta entre entornos IT y OT, así como controles de acceso basados en Zero Trust.
– **Monitorización activa** de logs y detección de actividad anómala mediante SIEM y EDR.
– **Formación continua** de empleados en técnicas de phishing y concienciación sobre ingeniería social.
– **Simulacros de respuesta a incidentes** específicos para entornos industriales.

Herramientas como Metasploit y Cobalt Strike se han detectado en la infraestructura atacada, por lo que se recomienda analizar exhaustivamente posibles puertas traseras residuales.

### Opinión de Expertos

Varios analistas de ciberseguridad industrial coinciden en que el ataque a Mackay Sugar es representativo de una tendencia creciente: la explotación de la convergencia IT/OT en sectores tradicionalmente menos maduros en ciberseguridad. «La falta de segmentación y la carencia de políticas de gestión de vulnerabilidades en entornos industriales sigue siendo un punto débil crítico», señala un analista de Dragos. Desde el CERT Australia advierten que «los grupos de ransomware están sofisticando sus métodos, combinando ataques dirigidos y técnicas de doble extorsión».

### Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad urgente de fortalecer la ciberseguridad en infraestructuras críticas, especialmente en sectores agroindustriales y manufactureros. Las empresas deben anticipar la aparición de ataques similares y adaptar sus estrategias de ciberresiliencia, cumpliendo con normativas como la NIS2 europea y la nueva legislación australiana sobre protección de infraestructuras esenciales. Para los usuarios y clientes, este tipo de incidentes puede derivar en interrupciones de servicio y filtración de datos personales.

### Conclusiones

El ataque a Mackay Sugar evidencia la vulnerabilidad de los sistemas industriales frente al ransomware dirigido. Es crucial que las organizaciones del sector revisen y refuercen sus medidas de protección, adopten un enfoque proactivo en la gestión de parches y mejoren la formación y concienciación de su personal. La colaboración público-privada y el intercambio de información sobre amenazas serán determinantes para frenar la escalada de ataques a infraestructuras críticas en 2024.

(Fuente: www.securityweek.com)