0
0
Novo malware detectado na Ucrânia é variante do Industroyer, que em 2016 causou um apagão ao atingir setor elétrico do país
Empresas que atendem o setor de segurança de sistemas industriais no mundo inteira estão alertando seus clientes para a elevação do risco de ataques com origem no grupo russo SandWorm: ele tentou implantar o malware Industroyer2 contra subestações elétricas de alta tensão na Ucrânia. Esse malware é uma variante do Industroyer, responsável pelo apagão de Kiev em 16 de Dezembro de 2016, exatamente uam semana antes do Natal. O industroyer foi considerado pela ESET, empresa eslovaca que o analisou para o CERT-UA, a maior ameaça para sistemas de controle industrial desde o ataque do Stuxnet, em 2010.
O ataque atual usou malware compatível wipers de disco para sistemas operacionais Windows, Linux e Solaris. Pesquisadores da ESET colaboraram novamente com o CERT-UA para analisar o ataque contra a empresa de energia ucraniana. As ações destrutivas foram programadas para 8 de Abril de 2022, mas os artefatos sugerem que o ataque estava planejado há pelo menos duas semanas.
O engenheiro Alexandre Freire, Technical Sales Engineering da Nozomi Networks para a América Latina, faz um alerta para para esse risco nas empresas que dependem de sistemas de controle industrial em suas operações, especialmente as do setor elétrico. Freire observa que embora o setor elétrico brasileiro já conte com regras de regulação para isso, sua observação é de que as empresas têm a possibilidade de atender essas regras e assim estar cobertas em termos de compliance, mas ainda continuar com fragilidades de segurança nos seus itens de operação: “É importante ressaltar que compliance é uma coisa, mas a segurança é outra. Então, uma empresa pode estar em conformidade com as regras do regulador mas ainda não ter alcançado a maturidade em segurança”.
A Nozomi Networks, diz Freire, foi uma das empresas que atualizou seu pacote de inteligência de ameaças com regras de indicadores de comprometimento (IoCs) do Industroyer2, para detectar e alertar os clientes sobre qualquer atividade vinculada ao malware. Houve relatos de alguns IPs codificados na amostra de malware, o que é uma indicação de que os agentes da ameaça tinham conhecimento profundo do ambiente em que o estavam implantando.
A Nozomi publicou para os administradores a seguinte lista de procedimentos, para que elevem a proteção das empresas do setor elétrico:
- Higiene cibernética básica : redefinir senhas, verificar o acesso e as permissões da conta/rede de funcionários e fornecedores, verificar a rede em busca de portas abertas para fechá-las ou protegê-las.
- Utilizar as regras YARA para pesquisar e gerar alertas sobre atividade de malware
- Usar ferramentas de detecção de anomalias para detectar quaisquer alterações ou variações de malware, bem como qualquer atividade irregular que ocorra nos ambientes OT
- Usar um firewall automatizado em conjunto com uma ferramenta de detecção de anomalias para interromper outros comandos do ataque
- Caçar ameaças em atividades suspeitas na rede; isso pode ajudar a descobrir invasores logo no início
- Aderir ao aviso de 2017, da CISA, sobre o assunto caso essas medidas de segurança ainda não tenham sido implementadas:
“hxxps://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-17-206-01”
FONTE: CISO ADVISOR