Ransomware: ataques às TIs industriais dobraram em 2022 

Ataques de ransomware a infraestruturas industriais quase dobraram em 2022, resultando em mais riscos para redes baseadas em Tecnologias Operacionais (OT, na sigla em inglês), particularmente aquelas com segmentação fraca. O ano passado também viu a escalada da sofisticação desse tipo de ameaça por conta de um novo kit modular de malware chamado Pipedream, desenvolvido pelo grupo Chernovite. O kit usa recursos para impactar dispositivos que controlam infraestruturas, por exemplo, de redes elétricas, oleodutos e gasodutos, sistemas de água e fábricas, e ameaçar cadeia de suprimentos inteiras.

Ataques de ransomware a empresas do segmento industrial rastreados pela Dragos em 2022 mostraram um aumento de 87% em relação ao ano anterior. Desde 2020, pesquisadores rastreiam grupos que tentam invadir redes OT/ICS ((Industrial Control System). Foram identificados 35% mais grupos de ransomware de olho em ambientes OT/ ICS no ano passado.

Há várias razões para o aumento das atividades de ransomware contra organizações industriais, entre elas tensões geopolíticas, a introdução do Lockbit Builder e o crescimento contínuo do ransomware como serviço (RaaS).

Além disso, as vulnerabilidades tiveram um aumento de 27% em 2022, ainda que com uma menor taxa de crescimento e aprimoramentos nas taxas de erros e classificações de risco. Enquanto a abordagem da área de TI para mitigação de vulnerabilidades se baseia na instalação de patches, o mundo OT frequentemente exige desligamentos de sistemas e plantas e depende de soluções alternativas para mitigar riscos e manter a produção, tornando o processo muito desafiador.

Durante 2022, Dragos rastreou 20 grupos de ameaça e descobriu dois novos — Chernovite e Bentonita. O Chernovite desenvolveu o malware Pipedream, o sétimo e mais recente direcionado a ICS. O Pipedream é a primeira ameaça multissetorial reutilizável que afeta funcionalidades nativas de protocolos industriais e uma ampla variedade de dispositivos. Segundo a pesquisa, o malware está mudando para aprimorar técnicas conhecidas e bem-sucedidas usadas em ciberataques a ICS.

Pesquisadores da Dragos afirmam que outras ameaças rastreadas podem evoluir com capacidades mais inovadoras e destrutivas no futuro. A expectativa é que ataques de ransomware continuem afetando operações industriais em 2023, seja pela integração de processos contra OT em cepas de ransomware, por meio de redes que facilitam a disseminação do ransomware por ambientes OT ou por operadores receosos que acabam desativando preventivamente ambientes OT para evitar a propagação do ransomware por sistemas OT. Além disso, cibercriminosos mostrarão mais interesse em fornecedores devido à interconectividade com clientes.

Para se proteger contra-ataques, a recomendação é que operadores industriais implementem os cinco controles críticos destacados no white paper do SANS Institute, “The  Five Critical Controls for ICS/OT”.

1. Plano de resposta a incidentes com ICS — Planos de resposta a incidentes com OT devem ser distintos dos voltados à IT por envolver diferentes tipos de dispositivos, protocolos de comunicação e tipos de táticas, técnicas e procedimentos (TTPs) específicos para grupos de ameaças a ambientes industriais. Exigem um conjunto diferente de ferramentas, linguagens e pontos de contato.

2. Arquitetura defensável — Estratégias de segurança OT geralmente começam por fechar o ambiente, removendo pontos desnecessários de acesso às redes OT, mantendo um controle rígido das políticas em pontos de interface IT/OT e mitigando vulnerabilidades de alto risco. No entanto, uma arquitetura defensável é mais do que isso. Deve também apoiar pessoas e processos envolvidos e melhorar a visibilidade e o monitoramento do ambiente OT.

3. Visibilidade e monitoramento — Você só protege o que pode ver, portanto, uma postura de segurança OT bem-sucedida deve manter um inventário dos ativos, mapear vulnerabilidades, desenvolver os respectivos planos de mitigação e monitorar ativamente o tráfego das redes em busca de possíveis ameaças. A detecção de ameaças resultante do monitoramento permite expandir e automatizar redes complexas. Sistemas de defesa devem se concentrar nos comportamentos identificados no plano de resposta para evitar excesso de ruídos e se concentrar nos riscos mais preocupantes. Além disso, o monitoramento também pode ajudar identificar vulnerabilidades.

4. Acesso remoto seguro — O acesso remoto seguro é fundamental em ambientes OT. O método de autenticação multifatorial (MFA) é um tipo de controle de TI clássico que pode ser apropriadamente aplicado em ambientes OT. Onde não for possível implementá-lo, uma alternativa são jumphosts com monitoramento focado, que devem ser colocados em conexões dentro e fora das redes OT e não em conexões nas redes.

5. Gestão de vulnerabilidades baseada em riscos — Conhecer as vulnerabilidades e ter um plano para gerenciá-las é essencial em uma arquitetura defensável. Uma ferramenta eficaz de gestão de vulnerabilidades em OT requer consciência dos principais pontos fracos, informações e classificações de risco corretas, bem como estratégias de mitigação para minimizar a exposição e manter as operações funcionando.

Além disso, a Dragos destacou o papel fundamental dos fornecedores de ICS para garantir a proteção de redes OT contra Pipedream ou outros tipos de malware. Eles podem ajudar de duas maneiras importantes: primeiro, fazer com que programas de gestão de vulnerabilidades e riscos sejam mais transparentes em relação à pilha de software de seus produtos. Além disso, devem apresentar uma lista SBOM (Software Bill of Materials) como parte do ciclo de desenvolvimento.

Vale lembrar que nenhum operador industrial, fornecedor de soluções de segurança ou fornecedor de ICS conseguirá mitigar ataques de ransomware sozinhos. Devem cooperar para juntos enfrentar esse inimigo comum.