0
0
O motivo do ganho financeiro e político – alimentado parcialmente pelo conflito em andamento na Ucrânia – encorajou os agentes de ameaças a barrar os sistemas de controle industrial (ICS) com ataques cibernéticos cada vez mais disruptivos, diversificando o cenário de ameaças para infraestrutura crítica, mostram novas pesquisas.
Espera-se que essa tendência continue ao longo de 2023 com os invasores se armando com novas táticas e malware, forçando os operadores de ICS a subir de nível se quiserem proteger suas redes, de acordo com o “Relatório de segurança de OT/IoT: uma análise profunda do ICS” da Nozomi Networks. Threat Landscape” para o segundo semestre de 2022, publicado em 18 de janeiro .
Costumava ser que os atores do estado-nação eram os principais perpetradores de ataques contra ICS, principalmente usando cavalos de Tróia de acesso remoto (RATs) para descartar cargas úteis de malware e obter acesso remoto a redes, bem como montar negação de serviço distribuída (DDoS) ataques para causar interrupções “inconvenientes”, diz Roya Gordon, evangelista de pesquisa de segurança da Nozomi Networks. “Historicamente, interrupções críticas de infraestrutura eram vistas como uma tática do estado-nação”, diz ela.
No entanto, o agora infame ataque ao oleoduto colonial em maio de 2021 marcou uma mudança significativa nessa tendência. Nesse incidente, um ataque de ransomware que começou com uma senha roubada causou pânico e escassez de gás em todo o leste dos Estados Unidos, e os invasores perceberam o quão perturbadores e potencialmente lucrativos novos vetores de ataque poderiam ser, diz ela.
“O ataque Colonial Pipeline demonstrou como os cibercriminosos podem aproveitar os ataques de ransomware em infraestrutura crítica – uma vez que eles tendem a depender fortemente de dados em tempo real e têm os meios para atender às demandas de resgate – para obter ganhos financeiros”, observa Gordon.
Então, com o ataque da Rússia à Ucrânia em fevereiro passado, os ataques ao ICS se tornaram políticos, com hacktivistas, tradicionalmente conhecidos por violações de dados e ataques DDoS, empunhando malware limpador destrutivo para interromper sistemas de transporte, como ferrovias e outras infraestruturas críticas na Ucrânia, para ganhos políticos, ela diz.
Isso marcou uma mudança não apenas em quem estava atacando o ICS, mas também em como e por que motivo eles estavam lançando esses ataques, diz Gordon. “Em suma, esse nível sem precedentes de atividade em todas as frentes deve nos preocupar.”
Principais tendências de ataques cibernéticos de ICS
O relatório identificou as principais tendências no cenário de ameaças do ICS com base em uma compilação de informações de várias fontes, incluindo mídia de código aberto, avisos CISA ICS-CERT e telemetria da Nozomi Networks, bem como em honeypots IoT exclusivos que os pesquisadores da Nozomi empregam para “uma análise mais profunda insights sobre como os adversários estão visando OT e IoT, ampliando a compreensão de botnets maliciosos que tentam acessar esses sistemas”, diz Gordon.
O que os pesquisadores observaram nos últimos seis meses foi um aumento significativo nos ataques que causaram interrupções em vários setores, com transporte e saúde entre os principais novos setores, encontrando-se na mira de adversários entre alvos mais tradicionais.
Os invasores estão usando vários métodos de entrada inicial nas redes ICS, embora alguns links de segurança fracos comuns que historicamente atormentam não apenas o ICS, mas todo o setor de TI da empresa – senhas fracas/texto não criptografado e criptografia fraca – continuem sendo as principais ameaças de acesso.
Ainda assim, as credenciais “root” e “admin” são usadas com mais frequência como uma forma de os agentes de ameaças obterem acesso inicial e escalarem privilégios uma vez na rede, mostram as descobertas. Outras maneiras pelas quais os agentes de ameaças encontram seu caminho incluem ataques de força bruta e tentativas de DDoS.
Em termos de malware, os RATs continuam sendo o malware mais comum detectado contra o ICS, enquanto o malware DDoS e a atividade de botnet IoT incomumente alta e ainda crescente continuaram a ser a principal ameaça para dispositivos IoT em uma rede. O uso de credenciais padrão para hackear dispositivos IoT foi o principal meio de entrada para botnets IoT, descobriram os pesquisadores.
Na segunda metade do ano passado, os ataques ao ICS aumentaram em julho, outubro e dezembro, com mais de 5.000 ataques únicos em cada um desses meses. Manufatura e energia continuaram sendo os setores mais vulneráveis, seguidos por água/esgoto, saúde e sistemas de transporte.
Curiosamente, apesar do aumento na segmentação da Ucrânia, os principais endereços IP de invasores observados no segundo semestre de 2023 não vieram da Rússia nem de países do lado da Rússia, descobriram os pesquisadores. Em vez disso, os principais endereços IP associados aos ataques do ICS estavam na China, nos EUA, na Coreia do Sul e em Taiwan, de acordo com os dados de Nozomi.
O futuro
Principais ameaças de ICS/IoT a serem observadas: os adversários usarão táticas de ameaças híbridas que não seguem o que os operadores podem ter visto no passado, o que significa que “se tornará cada vez mais difícil categorizar tipos de agentes de ameaças com base em TTPs e motivos ,” De acordo com o relatório.
As organizações do setor de saúde – que viram um aumento nos ataques quando o COVID-19 atingiu o que continuou mesmo com o declínio da pandemia – devem estar atentos para se manter atualizados sobre dispositivos médicos, de acordo com Nozomi. Atores de ameaças provavelmente usarão exploits para acessar sistemas médicos que agregam dados de dispositivos, uma manipulação que pode ter consequências terríveis e até fatais para os pacientes, podendo levar a mau funcionamento, erros de leitura ou até overdoses na liberação automática de medicamentos.
Outra nova ameaça no horizonte são os chatbots orientados por IA que os invasores usarão para fins maliciosos, como escrever código ou desenvolver exploits para vulnerabilidades. Eles também podem usá-los para gerar textos de phishing/engenharia social mais precisos que podem ser usados como entrada de acesso às redes ICS, disseram os pesquisadores.
“Tudo isso pode reduzir o tempo necessário para desenvolver campanhas de ameaças direcionadas, aumentando assim a frequência de ataques cibernéticos”, de acordo com o relatório.
Embora as notícias pareçam sombrias, proteger o ICS contra ameaças futuras pode ser tão simples quanto praticar “higiene cibernética básica”, empregando práticas típicas de segurança de TI que qualquer organização já deveria estar usando, diz Gordon.
” Embora os agentes de ameaças possam ter a capacidade de acessar OT e IoT diretamente, é uma de suas estratégias de longa data primeiro violar a TI e mudar para OT”, diz ela. “Portanto, tomar medidas para proteger a TI é fundamental.”
FONTE: DARK READING