0
0
À medida que o segundo aniversário do ataque maciço de ransomware à Colonial Pipeline se aproxima, especialistas alertam que os esforços para frustrar a ameaça potencialmente debilitante à infraestrutura crítica dos EUA não foram suficientes.
O ataque cibernético à sua infraestrutura de TI forçou a Colonial Pipeline a encerrar todas as suas operações pela primeira vez, provocando uma escassez de combustível e aumentos de preços que levaram quatro estados dos EUA ao longo da Costa Leste a declarar estado de emergência. O incidente elevou imediatamente o ransomware a uma ameaça de nível de segurança nacional e galvanizou uma ação concertada do Poder Executivo para baixo.
Desde o ataque – e outro pouco depois contra a JBS, que ameaçou a escassez doméstica de carne – o governo dos EUA disse que trataria o uso de ransomware em infraestrutura crítica como terrorismo. Uma ordem executiva assinada pelo presidente Biden poucos dias após o ataque ao oleoduto Colonial determinou novos requisitos de segurança para organizações de infraestrutura crítica. E houve inúmeras outras iniciativas em nível federal e de órgãos reguladores para reforçar a resiliência a ataques à infraestrutura crítica dos EUA.
No entanto, dois anos depois, a ameaça de ransomware à infraestrutura crítica continua alta, como mostrou um ataque recente ao maior provedor de armazenamento a frio dos Estados Unidos, a Americold. O ataque – como o da Colonial Pipeline – forçou a Americold a encerrar as operações de armazenamento a frio enquanto trabalhava para remediar a ameaça. No ano passado, 870 das 2.385 queixas de ransomware que o FBI recebeu envolveram organizações de infraestrutura crítica. Os dados do FBI mostraram que 14 dos 16 setores de infraestrutura crítica designados tiveram pelo menos uma vítima de ransomware.
A tendência continua inabalável em 2023: o relatório State of Ransomware da BlackFog de abril de 2023 mostrou que os ataques de ransomware à saúde, ao governo e ao setor de saúde continuam a crescer, apesar de outros relatos de fornecedores de uma desaceleração nos volumes de ataques.
Negócio inacabado
Especialistas em segurança veem a situação como uma situação em que, apesar de todo o trabalho feito até agora, há muito mais a fazer.
Theresa Payton, CEO da Fortalice Solutions e ex-CIO do Gabinete Executivo do Presidente na Casa Branca, assinala várias medidas desde a Colonial Pipeline que considera passos positivos na luta contra o ransomware. Eles incluem a Ordem Executiva 14028 do presidente Biden sobre a melhoria da segurança cibernética da nação, o Memorando de Segurança Nacional 5 voltado especificamente para sistemas de controle de infraestrutura crítica e os esforços para estabelecer modelos de segurança cibernética de confiança zero em agências federais sob o M-22-09. Também são notáveis medidas como a Lei de Relatório de Incidentes Cibernéticos para Infraestrutura Crítica e as disposições de segurança cibernética no projeto de lei de infraestrutura bipartidária.
O desmantelamento sistemático pelo FBI do grupo de ransomware altamente destrutivo Hive é outra indicação de progresso, diz Payton.
O que é necessário agora, explica ela, são diretrizes mais específicas para organizações de infraestrutura crítica. “Devemos evoluir os requisitos mínimos de segurança cibernética para setores críticos [e aprimorar] os padrões de autenticação e prova de identidade para evitar que incidentes de ransomware ocorram”, diz ela.
“Organizações de infraestrutura crítica como a Colonial Pipeline devem adotar princípios de confiança zero para prevenir ataques de ransomware, especialmente à medida que a engenharia social se torna mais realista, sofisticada, persistente e complexa”, diz Payton.
Mike Hamilton, ex-CISO de Seattle e atual CISO da empresa de segurança cibernética Critical Insight, diz que o ataque da Colonial Pipeline expôs a falta de bons procedimentos entre os operadores de infraestrutura dos EUA para se recuperar de um ataque cibernético grave.
“Uma vez que a Colonial encerrou a operação do gasoduto por uma abundância de cautela, demorou muito para reiniciar, o que alongou o problema de abastecimento de combustível existente”, diz ele. “Essa é uma questão de resiliência. Você precisa ser capaz de dar um soco e sair do tatame antes que essa contagem de dez acabe.”
Tornando os Ataques de Ransomware Mais Caros
Nos dois anos desde o incidente da Colonial Pipeline, entidades do governo dos EUA trabalharam para tornar os atacantes de ransomware mais difíceis e mais caros para os atacantes, observa Hamilton. O Departamento do Tesouro, por exemplo, usou sua autoridade existente do Escritório de Controle de Ativos Estrangeiros (OFAC) para proibir o uso de exchanges de criptomoedas para pagamentos de extorsão. O Departamento de Justiça dos EUA também tem sido mais agressivo na remoção proativa de infraestruturas criminosas e na detenção de criminosos.
Daqui para frente, a ênfase deve ser na defesa e na retirada da infraestrutura criminal, diz ele. Identificar e sancionar criminosos para eventual captura e encarceramento e proibir as vítimas de ransomware de fazer pagamentos, diz Hamilton.
A Agência de Cibersegurança e Infraestrutura dos EUA (CISA) também tem assumido um papel ativo em fazer com que as agências federais reforcem as defesas contra ransomware e outras ameaças cibernéticas.
O catálogo de Vulnerabilidades Exploradas Conhecidas da agência, por exemplo, exige que todas as agências governamentais civis corrijam vulnerabilidades que estão sendo exploradas ativamente dentro de um prazo específico – geralmente duas semanas – para minimizar a exposição a ameaças cibernéticas. Mais recentemente, a CISA lançou um programa Piloto de Aviso de Vulnerabilidade de Ransomware (RVWP) para alertar as organizações em setores de infraestrutura crítica sobre sistemas com vulnerabilidades neles que um invasor de ransomware poderia explorar. Em março de 2023, a CISA lançou uma Iniciativa de Notificação Pré-Ransomware relacionada, onde tem alertado as organizações sobre os atores de ransomware em suas redes para que possam remover a ameaça antes que qualquer criptografia de dados aconteça.
Os programas fazem parte do Joint Cyber Defense Collaborative (JCDC) da CISA, por meio do qual a agência recebe dicas e informações sobre ameaças de pesquisadores de segurança cibernética, atores de infraestrutura e empresas de inteligência de ameaças.
“A CISA reconheceu a ameaça do ransomware à infraestrutura crítica”, diz Mariano Nunez, CEO e cofundador da Onapsis. Desde o início do ano, eles já sinalizaram mais de 60 organizações nos setores de saúde, serviços públicos e outros sobre possíveis ameaças pré-ransomware em suas redes, diz ele.
Ransomware vive em
Essa ajuda é vital porque os ataques de ransomware à infraestrutura crítica estão crescendo, diz Nunez.
“A superfície de ataque continuará a crescer à medida que os serviços públicos e a infraestrutura crítica se tornarem mais conectados, ou interconectados, online”, observa. “A mudança para a nuvem também pode apresentar alguns problemas, pois essa mudança pode tornar mais difícil monitorar ameaças ativas e avaliar vulnerabilidades em tempo hábil.”
Um fator que pode complicar os esforços para resolver o problema do ransomware é uma tendência crescente das vítimas de atrasar a comunicação de um incidente ou encobri-lo completamente, se possível.
De acordo com a BlackFog, sua pesquisa indica que as organizações preocupadas com o dano potencial a suas marcas, reputação e relacionamento com clientes estão atrasando e, às vezes, não relatando um incidente de ransomware.
“Agora vemos que mais de 90% de todos os ataques não criptografam mais os dispositivos da vítima, mas simplesmente exfiltram os dados e extorquem todos”, diz Darren Williams, CEO e fundador da BlackFog. “Os custos de exposição são simplesmente muito altos; Perda de negócios, remediação, multas regulatórias e ações coletivas são apenas alguns dos problemas a serem enfrentados.”
FONTE: DARK READING