0
0
À medida que operadores de rede industrial e suas equipes de segurança operam em alerta máximo devido às preocupações de potenciais ataques disruptivos por equipes de hackers controladas pelo estado-nação russo em meio à crescente crise na Ucrânia e às sanções dos EUA sobre a Rússia, a realidade para a maioria deles tem sido uma dolorosa onda de ataques de ransomware no último ano.
Investigações de resposta a incidentes no mundo real em 2021 por equipes da Dragos e da IBM X-Force revelaram esmagadoramente que o alvo mais quente da tecnologia de operações (OT) é o setor de manufatura, e a principal arma que ataca essas organizações agora é o ransomware. Dois grupos de ransomware, Conti e LockBit 2.0, executaram mais da metade de todos os ataques de ransomware no setor industrial, dos quais 70% eram destinados a empresas de manufatura – fazendo com que a fabricação da indústria Nº 1 do OT fosse atingida por ransomware no ano passado, de acordo com um relatório recém-publicado da Dragos.
Embora os ataques de ransomware da Colonial Pipeline e da JBS tenham sido os mais importantes nesse setor, houve outros que não foram divulgados. “Um número significativo de casos não são relatados … há muitos que simplesmente não fazem as notícias”, diz Rob Lee, fundador e CEO da Dragos, que respondeu a 211 casos de ataque de ransomware em empresas de manufatura no ano passado.
Essa distinção duvidosa para a indústria manufatureira não deve ser surpresa: nos últimos dois anos, o setor tem estado cada vez mais na mira de ataques cibernéticos, especialmente quando as gangues de ransomware começaram a tirar vantagem da pressão crescente sobre os fabricantes durante a pandemia.
“Eles estão sempre mirando indústrias ou organizações sob pressão porque a pressão leva a melhores resultados ou pagamento para eles”, diz Charles DeBeck, analista sênior de inteligência de ameaças cibernéticas da IBM Security X-Force. As empresas de manufatura geralmente não podem pagar o tempo de inatividade, e a pandemia os apertou ainda mais à medida que as cadeias de suprimentos desaceleravam.
De acordo com casos de resposta a incidentes (IR) investigados pela IBM X-Force, mais de 60% dos incidentes em empresas de OT no ano passado foram contra fabricantes, e a manufatura superou os serviços financeiros como a vertical mais atacada (23,2%) investigada pela equipe de resposta a incidentes da X-Force no ano passado. O ransomware foi responsável por 23% desses ataques.
Mas a notícia relativamente “boa” era que a maioria dos ataques eram em redes de TI no setor industrial, com apenas alguns em suas redes OT. “As redes de TI são um terreno bem pisado, e muitos [atacantes] sabem como [alcançá-los]”, diz DeBeck. “[Direto] ataques oT não são tão comuns.”
Isso porque leva tempo para um ator de ameaças reunir informações sobre uma rede OT e os processos industriais que ela executa. De acordo com Dragos, leva cerca de três a quatro anos para um grupo de ameaças reunir informações suficientes sobre uma rede OT vítima para travar um ataque significativo a ela. Mas Lee observa que vários dos grupos de ameaças que Dragos tem acompanhado nos últimos cinco anos estão bem “dentro dessa janela” e podem levar seus ataques para o próximo nível disruptivo ou destrutivo.
No ano passado, Dragos também descobriu três “novos” grupos de ameaças que não havia encontrado anteriormente em OT. Chamava-os Kostovite, Petrovite e Erythrite. Tanto Kostovite quanto Erythrite tinham se chegado às redes OT das vítimas.
Kostovite se concentra em metas de energia renovável na América do Norte e Austrália. Ele se infiltrou na infraestrutura OT de uma grande empresa de operações e manutenção, invadindo a empresa explorando uma falha de zero-day na Ivanti Pulse Connect Secure VPN para acesso remoto. A empresa, que Dragos não citou, mantém e opera sistemas SCADA para fazendas eólicas e solares nos EUA e Austrália. Os atacantes entraram nos servidores de monitoramento e controle da empresa.
“Eles comprometeram a empresa de O&M e recuaram e entraram em redes OT de numerosos sites e plantas de geração de energia” nos EUA e austrália, disse Lee durante uma coletiva de imprensa sobre o relatório do Dragos.
Para permanecer sob o radar, os hackers usaram apenas ferramentas legítimas e residentes na rede de vítimas, pois roubaram credenciais e, em seguida, pivotaram em algumas das redes OT dos clientes da empresa. De acordo com Dragos, o M.O. de Kostovite e táticas, técnicas e procedimentos (TTPs) se sobrepõem aos de um APT chinês apelidado de UNC2630 por Mandiant.
Mas ao contrário dos grupos tradicionais chineses APT, Kostovite tinha mais do que roubo de propriedade intelectual ou espionagem cibernética em sua agenda: os atacantes estavam em servidores que poderiam desligar alguma geração de energia, por exemplo. “Não foi apenas entrar para roubar IP”, disse Lee. “Com base em nossa análise, tudo aponta para o acesso a longo prazo para futuras ações disruptivas.”
“Isso parece o mais próximo que estamos há muito tempo de um adversário que tem a intenção de fazer algumas ações disruptivas”, explicou Lee. Mesmo assim, Lee disse que a empresa de O&M foi rápida em reagir assim que o ataque foi detectado, e “em nenhum momento houve risco real para as pessoas”, disse ele. Os atacantes estavam dentro da rede da empresa O&M há cerca de um mês antes de Dragos realizar seu compromisso de IR.
“Esse foi o caso mais alarmante” para Dragos, disse Lee. “Um fornecedor e várias empresas de energia em vários países” poderiam estar em risco, disse ele.
Erythrite, por sua vez, parece ser um novo grupo de ameaças que vai atrás da Fortune 500 fornecedores de alimentos e bebidas, elétricos, petróleo e gás e serviços de TI que apoiam o setor industrial, por exemplo, de acordo com Dragos. Cerca de 20% da Fortune 500 foram atacadas até agora pelo grupo, incluindo um cuja rede OT foi comprometida, disse Lee.
“Está constantemente tentando entrar nas redes de TI de várias empresas industriais”, disse ele. A Erythrite também usa envenenamento por SEO, aumentando artificialmente o ranking de sites que hospedam seu malware – para seu vetor de ataque inicial, e tem algumas semelhanças com o Solarmarker.
Uma recente campanha do Solarmarker vista pela Menlo Security usou mais de 2.000 termos de pesquisa exclusivos que atraíram os usuários para os sites que, em seguida, lançaram PDFs maliciosos manipulados com backdoors.
Dragos também relatou em um novo grupo que eles chamam de Petrovite, que reúne informações sobre sistemas ICS e OT em operações de mineração e energia no Cazaquistão e na Ásia Central.
Você não pode proteger o que você não pode ver
Um tema ainda comum que as organizações industriais – e realmente muitas organizações em todos os setores – é a incapacidade de obter uma imagem completa e clara de seus sistemas em rede e possíveis portas abertas e vulneráveis de entrada para os bandidos. Cerca de 86% das organizações assistidas por Dragos tinham pouca ou nenhuma visibilidade em seus ambientes OT, de acordo com seu relatório. Entre seus fatores de risco estavam a má segmentação de rede (77% das organizações), conexões externas aos seus sistemas ics (70% das organizações) e credenciais compartilhadas entre sistemas de TI e OT (44% das organizações).
Muitas dessas organizações acreditam ter segmentado adequadamente suas redes OT e TI e que não têm conexões em rede desconhecidas, de acordo com o Dragos. “Mas eles [fazem e] são e os atacantes de ransomware se aproveitam disso rapidamente”, por exemplo, disse Lee.
O IBM X-Force detectou um grande aumento na varredura da Internet das conexões TCP Port 502 – um aumento de 2.204% – entre janeiro de 2021 e setembro de 2021. Esse é o porto usado pela Modbus, o protocolo de comunicação industrial entre ônibus, redes e controladores lógicos programáveis.
“Você precisa ter certeza de que seus dispositivos OT estão bloqueados”, diz DeBeck, da IBM X-Force. “Atores de ameaças estão lá fora procurando” por eles, diz ele.
Isso significa testar a segurança em torno desses dispositivos, diz ele, incluindo a realização de testes de penetração para tentar ficar à frente dos atacantes.
FONTE: DARK READING