Relatório da empresa apresenta principais grupos, estratégicas e motivações envolvidas em incidentes contra os setores como o de água e saneamento
A ISH Tecnologia, referência nacional em cibersegurança, emite um relatório sobre as principais ameaças digitais direcionadas ao setor de água e saneamento mundial. A companhia revela que grupos de ransomware e APT aproveitam a falta de manutenção e atualizações regulares nos sistemas das empresas para acessar conteúdos sensíveis e atingir objetivos mal-intencionados.
Os atores de ameaça, pertencentes a organizações como LockBit, Clop e Cyber Av3ngers, costumam variar suas motivações entre interesses políticos e econômicos. Desse modo, para atingir suas metas maliciosas e prejudicar as instituições da área, eles utilizam técnicas sofisticadas de invasão, criptografia, além de ataques de phishing e Brute Force (“Força bruta”, em tradução livre).
Agentes criminosos
O time de Inteligência de Ameaças da ISH colheu informações e dividiu em dois principais grupos os cibercriminosos que atingem as instituições do setor de água e saneamento. Essa divisão foi feita com base nas motivações e os tipos de ataque disseminados pela organização mal-intencionada:
Atores criminosos (cibercriminosos)
Costumam realizar ataques baseados na propagação de ransomwares. Eles têm como objetivo explorar as vulnerabilidades nos servidores das organizações para causar interrupções generalizadas no abastecimento, tratamento e distribuição de água.
Atores de Estado-Nação
Possuem a habilidade de combinar operações cibernéticas e de informações para realizar ataques direcionadas a esses serviços. Pode ser mencionado, por exemplo, a guerra entre Ucrânia e Rússia, na qual foram observadas ofensivas orquestradas pelos russos para interromper setores como energia e abastecimento de água. O foco principal é causar problemas na distribuição e minar a confiança da população nessas instituições.
Devido ao seu potencial de rapidamente se adaptar e explorar brechas mínimas nas empresas, os grupos de ransomware são os que mais direcionam ataques a esse setor. Isso acontece já que uma paralisação desses serviços pode resultar em lucro financeiro para os cibercriminosos, principalmente por se tratar de atividades críticas.
Principais grupos e vulnerabilidades
A ISH também destrinchou as principais características, métodos de atuação e informações relevantes dos grupos mais proeminentes. Entre as organizações mal-intencionadas expostas pela empresa estão:
LockBit (Ransomware)
Conhecido por ser um dos grupos de ransomware mais atuantes do cenário online. Esse agente malicioso tem como características a execução de operações avançadas e a implementação de malwares sofisticados na disseminação de seus ataques.
O grande potencial de risco do grupo se deve à sua operação de Ransomware-as-a-Service (RaaS), modelo de crime cibernético que consiste em um serviço de propagação de malwares, em larga escala, com remuneração pelo feito.
Entre as principais vulnerabilidades exploradas pelo LockBit, destacam-se:
ID CVE | Descrição |
---|---|
CVE-2018-13379 | Vulnerabilidade de path tranversal na VPN (Fortinet FortiOS Secure Sockets Layer (SSL)) |
CVE-2019-0708 | Vulnerabilidade de execução remota de código nos serviços de RDP da Microsoft. |
CVE-2020-1472 | Vulnerabilidade utilizada para elevação de privilégios no Netlogon. |
CVE-2021-22986 | Vulnerabilidade de execução remota de código F5 BIG-IP e BIGIQ de gerenciamento centralizado iControl REST. |
CVE-2021-44228 | Vulnerabilidade de execução remota de código no Apache Log4j |
CVE-2023-27350 | Vulnerabilidade de controle de acessos do PapperCut MF/MG. |
CVE-2023-0669 | Vulnerabilidade de execução remota de código no Fortra GoAnywhere Managed File Transfer (MFT). |
Em relação ao setor de água e saneamento, as principais operações do LockBit têm como objetivo principal a criptografia de empresas. Dessa forma, eles exigem pagamentos para liberar a chave necessária, para que a companhia (vítima) recupere os arquivos criptografados e as informações confiscadas.
Clop (Ransomware)
Inicialmente, o grupo baseava suas operações na exploração de vulnerabilidades para o comprometimento de organizações. Os primeiros ataques realizados pela organização maliciosa eram realizados por meio de phishing e tinham como motivação principal alguns objetivos financeiros.
Apesar de ter uma parcela do grupo capturada pelas forças da lei em 2021, o Clop conseguiu se readaptar e modificar seus métodos de operação, de forma que eles ficassem ainda mais discretos e eficientes.
As principais vulnerabilidades visadas pelo grupo de ransomware Clop, são:
ID CVE | Descrição |
---|---|
CVE-2021-2701 | Injeção de SQL por meio de cabeçalho host criado. |
CVE-2021-27102 | Execução de comandos no sistema operacional por meio de uma chamada de serviços da web local. |
CVE-2021-27103 | SSRF por meio de uma solicitação POST criada. |
CVE-2021-27104 | Execução de comandos no sistema operacional por meio de uma solicitação POST criada. |
CVE-2021-35211 | Possibilidade de execução remota de código (RCE). |
CVE-2022-41080 | Vulnerabilidade elevação de privilégio. |
CVE-2023-27350 | Permite que os atores de ameaças realizem “by-pass” em autenticações. |
CVE-2023-34362 | Vulnerabilidade de injeção de SQL no aplicativo da Web |
CVE-2023-0669 | Injeção de comandos pré-autenticado que pode ser controlado pelo ator de ameaça. |
Cyber Av3ngers (Ator de Estado-Nação – Irã)
O grupo, supostamente ligado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), ficou conhecido por focar em ataques a infraestruturas críticas, especialmente nos EUA e em Israel. Ele tem como alvo sistemas SCADA, no país israelense.
O SCADA é um sistema supervisório. Ele é utilizado em processos industriais para auxiliar no gerenciamento do desempenho de máquinas e equipamentos. Esse software de supervisão tem como componentes principais: uma rede de comunicação, engrenagens e sensores.
O Cyber Av3ngers é considerado um ator de Ameaças Persistente Avançada (APT). O grupo explora vulnerabilidades conectadas a internet e emergiu em meio ao conflito entre Israel e Hamas. Os primeiros ataques desse agente malicioso foram contra sistemas ferroviários e instalações de tratamento de água em Israel. Hoje, como explora organizações que tem conexão com a internet, os cibercriminosos exploram ferramentas tecnológicas e buscam afetar dispositivos fabricados pela empresa israelense Unitronics.
Para conseguir seus objetivos, eles utilizam de técnicas de criptografia, como credenciais e portas de acesso padrão.
Prevenção
Por fim, a ISH Tecnologia elenca dicas e recomendações a fim de evitar o avanço de atores de ameaça em direção aos setores mencionados:
– Mantenha backups offline de dados e realize regularmente backup e restauração;
– Implemente autenticação multifator para todos os serviços na medida do possível, principalmente para correio eletrônico, redes privadas virtuais e contas que acessam sistemas críticos;
– Instale um plano de recuperação para manter e reter múltiplas cópias de dados sensíveis ou proprietários e servidores em um local fisicamente separado, segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento ou na nuvem);
– Filtre o tráfego de rede para impedir que origens desconhecidas ou não confiáveis acessem serviços remotos em sistemas internos.
Sobre a ISH Tecnologia
A ISH Tecnologia, empresa do grupo ISH Tech, foi fundada em 1996, e é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Ocupa a 22ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert. Com mais de 900 colaboradores e uma carteira de mais de 600 clientes de todos os setores da economia, atende cerca de 20% das 1000 maiores além de mais de 400 empresas de médio porte e órgãos públicos. A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.
Hackers supostamente usaram uma senha comprometida no ataque cibernético Colonial Pipeline
CIAM: autenticação ou orquestrador para jornada do cliente fluida e amigável? Por Sergio Muniz
Ataques de phishing viram tendência após “apagão cibernético”, revela ISH Tecnologia
Convergência TI-TO revolucionará operações, treinamentos e suporte ao cliente em 2024. Por Mei Dent
TECNOLOGIA OPERACIONAL – CYBER OT
CONTEÚDO SOBRE CYBERSEGURANÇA E TECNOLOGIA OPERACIONAL NO SETOR INDUSTRIAL VOCÊ LÊ NO CRYPTO ID. ACESSE E CONFIRA!
Ao anunciar no CRYPTO ID, sua organização contribui para a divulgação de inovações tecnológicas que visam agregar segurança ao relacionamento entre empresas e indivíduos no ambiente eletrônico para possibilitar transações eletrônicas seguras e confiáveis em ambientes públicos e privados.
By advertising with CRYPTO ID, your organization contributes to the dissemination of technological innovations that enable secure and reliable electronic transactions between businesses and individuals.
Fale com a gente: +55 11 3881-0053 ou contato@cryptoid.com.br