16 de março de 2022

Dois dos novos grupos são sofisticados o bastante para invadir redes ICS/OT diretamente, podendo comprometer infraestruturas industriais

Pesquisadores de cibersegurança descobriram três novos grupos de ameaças focados no setor industrial. Mais da metade de todos os ataques ao setor, porém, são obra de dois grupos conhecidos e altamente sofisticados.

As diferentes motivações para os ataques

Ataques cibernéticos que visam players industriais, infraestrutura crítica, serviços públicos, energia e afins geralmente não têm objetivo de ganhar dinheiro, e sim de roubar dados ou causar interrupções catastróficas como forma de ameaça ou para “impor respeito”. Os incidentes de ransomware vivenciados pelo oleoduto Colonial Pipeline e pela JBS, da indústria de alimentos, por exemplo, chamaram a atenção justamente para isso – o quanto conseguiam ser destrutivos e se espalhar, rapidamente, pelos setores essenciais dos Estados Unidos.

A Colonial Pipeline precisou interromper temporariamente o seu fornecimento de combustível por toda a costa leste dos EUA, causando pânico nos cidadãos da região, que temiam ficar sem gasolina. Já a JBS, um frigorífico global, pagou US$ 11 milhões pelo resgate de seus sistemas, o que, contudo, não foi o suficiente para impedir um aumento no preço das carnes e diminuição do abate de gado, devido à incerteza do mercado.

Com consequências tão catastróficas, que indivíduo ou empresa não morreria de medo de sofrer um ataque de ransomware?

Mas os ataques às indústrias, especialmente aqueles conduzidos por grupos de ameaças persistentes avançadas (APT), também podem ter natureza política.

Pouco antes da invasão da Ucrânia pela Rússia, a Rússia foi acusada mobilizar ataques cibernéticos à Ucrânia, incluindo um ataque distribuído de negação de serviço (DDoS) a sites do governo ucraniano. Os serviços financeiros no país também foram impactados, de acordo com a Ucrânia.

O Kremlin negou qualquer envolvimento, mas não foi a primeira vez em que uma denúncia desse tipo ocorreu: a Rússia também foi apontada como responsável por um ataque cibernético em 2015, que derrubou a rede elétrica da Ucrânia e interrompeu o fornecimento de energia no país.

Os ataques a Sistemas de Controle Industrial colocam setores críticos no centro do alvo

No quinto relatório Year In Review da norte-americana Dragos, que foca em ameaças do Sistema de Controle Industrial (ICS) e Tecnologia Operacional (OT), a empresa, especialista em segurança cibernética industrial, disse que foram descobertos três novos grupos “com a motivação clara de direcionar seus ataques para ICS/OT”.

A descoberta dá continuidade à pesquisa do ano anterior, que detalhou as façanhas de quatro outros grupos de cibercriminosos, apelidados de Stibnite, Talonite, Kamacite e Vanadinite.

Os três novos grupos descobertos pela Dragos são Kostovite, Petrovite e Erythrite.

Os grupos de cibercriminosos que ameaçam o setor industrial

A Dragos detalhou, em seu relatório, as diferenças entre as gangues:

Kostovite:

Em 2021, o grupo Kostovite visava uma importante organização de energia renovável. Os criminosos exploraram uma vulnerabilidade zero-day no software de acesso remoto Ivanti Connect Secure para obter acesso direto à infraestrutura da empresa, mover-se lateralmente e roubar dados. O Kostovite tem como alvo instalações na América do Norte e Austrália e, ao que tudo indica, tem relação com o UNC2630, um grupo de língua chinesa associado a 12 famílias de malware.

Petrovite:

Aparecendo pela primeira vez em 2019, a Petrovite frequentemente tem como alvo empresas de mineração e energia no Cazaquistão. O grupo invade os sistemas para reconhecimento de rede e roubo de dados.

Erythrite:

Já a gangue Erythrite, ativa desde 2020, geralmente tem como alvo organizações nos EUA e no Canadá. A lista de alvos é ampla e inclui petróleo e gás, manufatura, empresas de energia e um membro da Fortune 500.

“O Erythrite executa envenenamento altamente eficaz de mecanismo de pesquisa e usa a implantação de malware para roubo de credenciais”, diz a Dragos. “Seu malware é lançado como parte de um ciclo de desenvolvimento rápido projetado para contornar a detecção endpoint. O Erythrite possui semelhanças, a nível técnico, com outro grupo rotulado por várias organizações de segurança de TI como Solarmarker.”

Dois dos grupos são altamente sofisticados

Kostovite e Erythrite demonstraram habilidades para conduzir invasões sofisticadas, “com foco em operações de acesso inicial e roubo de dados, em vez de interrupção”, informa a Dragos.

“[Esses] adversários estão dispostos a gastar tempo, esforço e recursos comprometendo e coletando informações de ambientes ICS/OT para utilização futura”, diz Dragos.

Os novos grupos em cena se juntam ao Lockbit 2.0 e ao Conti, responsáveis ​​por 51% de todos os ataques de ransomware no setor de manufatura em 2021.

Além disso, de acordo com a empresa, o risco é ainda maior para o setor industrial porque a triagem de ameaças de OT é “incrivelmente difícil de se escalar”, pois 86% das ocorrências têm falta de visibilidade da rede.

Finalizando, o relatório alerta que mais de um terço dos avisos CVE também contêm dados imprecisos e erros quando se trata de ICS/OT, dificultando o desafio de corrigir vulnerabilidades emergentes corretamente. Além disso, 65% dos avisos para vulnerabilidades públicas tinham um patch disponível, mas nenhuma alternativa de mitigação.

Quer proteger sua empresa de ponta a ponta? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?