.
Análise Os cibercriminosos seguem o dinheiro, e cada vez mais no ano passado isso os levou a ataques de ransomware contra a indústria manufatureira.
Empresa de segurança de tecnologia operacional Dragos, em seu relatório de revisão anual de 2023 [PDF]descobriu que 70% de todas as infecções por ransomware em organizações industriais atingiram empresas de manufatura.
Especificamente: 638 entidades em 33 subsetores industriais exclusivos foram vítimas de ransomware no ano passado.
“Claro, estamos vendo [attacks against] petróleo, gás e eletricidade, mas a manufatura é uma ordem de magnitude maior”, disse o CEO da Dragos, Robert Lee, em uma teleconferência com repórteres, acrescentando que a explicação para isso é dupla.
Em primeiro lugar, as organizações industriais aderiram a toda a ideia de “transformação digital” mais cedo do que os seus homólogos, por exemplo, na água e nas águas residuais, explicou Lee. Mas enquanto a indústria investia em IoT e em máquinas conectadas, os gastos com segurança não acompanharam esse ritmo e, como resultado, estes sistemas inseguros tornam-se alvos mais fáceis.
A manufatura “é um alvo mais rico” para os criminosos, disse Lee. “E veremos o petróleo e o gás, a eletricidade, a água e a mineração seguirem essa tendência… à medida que essas indústrias se tornarem mais conectadas digitalmente.”
Na mesma linha: o relatório de Dragos concluiu que a indústria transformadora (51 por cento dos inquiridos) continua a ter mais dificuldades com a segmentação, em comparação com outros sectores industriais.
Os transportes ficaram em segundo lugar, com 43% dessas organizações enfrentando dificuldades para implementar uma defesa de rede que impeça a movimentação de invasores entre sistemas e ambientes.
A segunda razão tem a ver com criminosos que seguem o dinheiro. “Os grupos de ransomware não visam explicitamente a OT porque conhecem a OT”, disse Lee. “Eles dizem: 'Esta parte da rede, TI, nós atingimos e às vezes eles nos dão dinheiro. E há essas coisas estranhas. Quando atingimos, eles pagam e pagam rápido.”
A “coisa estranha” aqui são os sistemas de TO e de controle industrial – em outras palavras, os sistemas que beneficiam os resultados financeiros das empresas de manufatura e, quando interrompidos, causam tempo de inatividade e perdas financeiras.
“Não é que sejam especialistas em TO, mas sabem que estão impactando a parte de geração de receita dessas empresas”, disse Lee. “Como resultado, as empresas estão dispostas a pagar e a pagar mais rapidamente, e assim [the criminals] continue fazendo isso.”
Além disso, com a indústria e outros setores de infraestrutura crítica, há a questão dos ataques à cadeia de suprimentos, onde a exploração de uma vulnerabilidade em um software ou equipamento comumente usado pode permitir que os criminosos atinjam organizações como alvo de infecções por ransomware – ou pior.
Infecção por ransomware PSI
No início deste mês, o fornecedor alemão de sistemas de controlo PSI Software, cujos clientes globais incluem empresas de energia, serviços públicos, produtores de metais, fabricantes e operadores de redes de transporte, revelou uma infeção de ransomware que continua a perturbar os seus sistemas.
A empresa detectou inicialmente a intrusão em 14 de fevereiro e, no dia seguinte, desligou seu e-mail e outros sistemas de TI.
“Depois que o malware foi executado pelos invasores, todos os sistemas de TI foram imediatamente desconectados da rede e as conexões técnicas com o mundo exterior – inclusive com nossos clientes – foram desconectadas”, disse a PSI em um relatório de incidente em seu site.
Desde 22 de fevereiro, os sistemas internos de TI da empresa permaneciam offline.
“Estamos atualmente no processo de restauração dos sistemas básicos”, disse um porta-voz da PSI O registro. “Assim que a infra-estrutura básica estiver criada, os sistemas informáticos mais importantes serão gradualmente reiniciados.”
A PSI também está trabalhando em uma correção provisória para e-mail e outros serviços essenciais, “para manter as restrições para nossos clientes o mais baixas possível”, acrescentou o porta-voz. “No entanto, a experiência de incidentes semelhantes em outras empresas mostra que pode levar várias semanas até que as operações regulares possam ser retomadas”.
A empresa ainda não determinou se os invasores roubaram algum dado, incluindo dados de clientes, na invasão. A PSI se recusou a responder perguntas adicionais sobre a infecção por ransomware.
Embora remover o acesso à Internet e desligar o sistema de e-mail para evitar roubo de dados seja uma medida necessária nesses tipos de ataques, “esses tipos de ações… provavelmente terão pouco ou nenhum impacto na exfiltração de dados”, disse Steve Stone, chefe de Rubrik Zero Labs, disse O registro.
Para ser claro, a agência de segurança de dados não tem “conhecimento direto da intrusão nos sistemas da PSI”, acrescentou.
Ainda assim, “virtualmente todos os grupos de ransomware roubam os dados antes de lançarem as ferramentas de criptografia, então muitas organizações descobrirão que seus dados provavelmente já haviam desaparecido antes do ransomware ser usado”, disse Stone.
Além disso, acrescentou ele, embora os ataques aos sistemas de controle industrial e de fabricação recebam muita atenção – e por boas razões – a maioria das invasões de ransomware acontecem nos ambientes de TI tradicionais dessas organizações, e não nos próprios sistemas de controle.
Os ataques à manufatura ainda começam em sistemas de TI – por enquanto
“Entidades de manufatura e relacionadas a ICS ainda precisam de redes padrão e é quase universalmente onde ocorrem ataques cibernéticos”, disse Stone. “Quando os impactos são observados, eles normalmente ocorrem dentro de controles que utilizam tecnologia padrão, em vez de fabricação específica ou equipamentos ICS”.
Este é o caso de uma vulnerabilidade crítica com classificação CVSS de 9,8 que afeta as máquinas Mitsubishi Electric [PDF]que são amplamente utilizados nos setores industriais globais.
A CISA soou o alarme sobre esta falha em 20 de fevereiro. E embora afete as máquinas de descarga elétrica, o bug em si existe no serviço Microsoft Message Queuing usado pelos equipamentos Mitsubishi.
Se explorado, o CVE-2023-21554 pode permitir que um invasor divulgue, adultere, destrua ou exclua informações dos produtos, ou cause uma condição de negação de serviço nos produtos.
“É basicamente uma mensagem malformada que pode causar a execução remota de código, o que é o pior que existe”, disse o cofundador e CTO da Contrast Security, Jeff Williams. O registro.
A boa notícia: “Duvido que muitos deles estejam na Internet pública”, acrescentou.
E embora essa falha possa ser explorada para implantar ransomware, é improvável que os criminosos abusem dela.
Explorar esse bug para uma infecção de ransomware “é como invadir seu escritório e trancar os arquivos, em vez de roubar seu IP, assumir o controle de suas contas bancárias e matar seus funcionários”, disse Williams. “Com esta falha eles podem controlar completamente o sistema Mitsubishi e fazer tudo o que ele puder fazer, e acessar tudo o que ele puder acessar”.
Para ser claro: não temos nenhuma indicação de que esta vulnerabilidade do Microsoft Message Queuing tenha sido explorada à solta.
Lasers LAURIONITE em fase de fabricação
O relatório Dragos, no entanto, destaca outro produto de TI empresarial comumente usado para invadir organizações industriais. Especificamente CVE-2022-21587 e CVE-2022-21589, ambas falhas nos serviços web Oracle E-Business Suite iSupplier que Dragos descreve como “uma das soluções empresariais mais amplamente utilizadas para processos de negócios integrados” com clientes como United States Steel e Unifi fabricação têxtil.
A loja de segurança OT detectou um grupo de ameaças que rastreia como LAURIONITE explorando essas falhas em instâncias vulneráveis do Oracle iSupplier já em 5 de março e, em seguida, movendo-se lateralmente pelos ambientes dos fabricantes, realizando reconhecimento interno e roubando dados.
“Embora as observações atuais e a visibilidade das operações LAURIONITE não indiquem que o adversário procura avançar para as redes OT, Dragos não pode descartar isto como um possível curso de ação que o adversário pode selecionar no futuro”, de acordo com o relatório.
Este grupo, e o seu foco contínuo em sistemas vulneráveis dentro de empresas de produção, não representa apenas uma ameaça à propriedade intelectual das corporações, disse Lee. Embora a LAURIONITE não tenha interrompido as linhas de produção ou manipulado a composição do que está sendo produzido, ela poderia.
“É um bom exemplo desse tipo de conectividade TI-TO que pode impactar as operações e a sociedade em geral através do que parece ser um comprometimento mundano das redes de TI”, acrescentou Lee. ®
.
