Enquanto houve uma diminuição de ataques em computadores de sistemas de controle industrial (ICS) na maior parte dos setores, pesquisa da Kaspersky identificou que os cibercriminosos estão mudando o foco dos esforços, causando um aumento de 38% de atividades maliciosas destinadas aos sistemas dos setores de Petróleo e Gás e Automação Predial, comparado a todo ano de 2019.

Os ataques contra organizações industriais sempre têm o potencial de ser especialmente devastadores, tanto em termos de interrupção da produção quanto de prejuízos financeiros. Além disso, os ataques contra indústrias tornaram-se mais direcionados, organizados por grupos sofisticados com recursos abrangentes, cujos objetivos podem não ser apenas o ganho financeiro, mas também a ciberespionagem.

No setor de petróleo e gás, a porcentagem de computadores de ICSs nos quais foram bloqueados objetos maliciosos aumentou de 36,3%, no segundo semestre de 2019, para 37,8%, no primeiro semestre deste ano. Já no setor de automação predial, o índice avançou de 38% para 39,9%, no mesmo.

Os sistemas de automação predial, em geral, tendem a ser mais expostos a ataques. Frequentemente, eles têm uma superfície de ataque maior do que os computadores de ICSs tradicionais, porque, muitas vezes, estão conectados a redes corporativas e à internet, diz o relatório. Ao mesmo tempo, como costumam pertencer a organizações terceirizadas, esses sistemas nem sempre são gerenciados pela equipe de segurança corporativa da organização, o que os torna um alvo mais vulneráveis.

O aumento percentual de computadores de ICSs atacados no setor de petróleo e gás pode ser rastreado até o desenvolvimento de diversos worms (programas maliciosos que se autorreplicam no dispositivo infectado) escritos em linguagens de script, especificamente o Python e o PowerShell. Esses worms são capazes de coletar credenciais de autenticação da memória de processos do sistema usando diferentes versões do utilitário Mimikatz. Do final de março a meados de junho de 2020, foi detectado um grande número desses worms, principalmente na China e no Oriente Médio.

O aumento na porcentagem de sistemas de ICSs atacados nos setores de petróleo e gás e de automação predial foi a exceção no primeiro semestre: na maioria dos outros setores, o percentual de sistemas atacados diminuiu. Isso ocorreu conforme os atacantes pareceram mudar seu foco de ataques em massa para a distribuição de ameaças mais focadas e direcionadas, inclusive backdoors (trojans perigosos que obtêm acesso remoto do dispositivo infectado), spyware (programas maliciosos criados para roubar dados) e ataques de ransomware (que tendem a mirar grandes corporações específicas).

De fato, mais famílias de backdoors e spyware criadas na plataforma .NET foram detectadas e bloqueadas em computadores de ICSs. Em todos os setores, a porcentagem destes equipamentos afetados por ransomware aumentou levemente no primeiro semestre de 2020, em relação à segunda metade de 2019, com uma série de ataques observados contra instalações médicas e indústrias, diz o relatório.

O setor industrial também foi vítima de campanhas sofisticadas realizadas por grupos especializados em ameaças persistentes avançadas (APTs). “A porcentagem de computadores de ICSs atacados na maior parte dos setores está diminuindo. No entanto, ainda há ameaças a combater. Quando mais direcionados e sofisticados são os ataques, maior a possibilidade de causarem prejuízos significativos, mesmo que ocorram com menos frequência”, comenta Evgeny Goncharov, especialista em segurança da Kaspersky.

Ele acrescenta que, com muitas empresas forçadas a trabalhar remotamente e a acessar os sistemas corporativos de casa, naturalmente, os ICSs ficaram mais expostos a ciberameaças. “Com menos profissionais observando, há menos pessoas disponíveis para responder e atenuar um ataque, portanto, as consequências podem ser muito mais devastadoras. Considerando que as infraestruturas de petróleo e gás e de automação predial parecem ser um alvo popular entre os atacantes, é fundamental que os proprietários e operadores desses sistemas tomem precauções de segurança adicionais”, completa Goncharov.

É muito importante que as organizações no geral estejam preparadas para qualquer tipo de incidente, com um time de segurança alinhado e ativo. O Centro de Operações da Segurança (SOC) da Clavis Segurança da Informação provê uma visibilidade plena sobre os eventos e informações de segurança da sua organização.

Ele agrega e unifica os nossos principais serviços e soluções, o que possibilita a Clavis fornecer aos nossos clientes uma arquitetura de segurança adaptativa para identificação de ameaças, alinhada os pilares de Governança, Risco e Compliance. Através da combinação de soluções orientadas à dados, como Octopus SIEM e o BART, com um time de especialistas e engenheiros dedicados, o serviço de SOC incluí a detecção e prevenção de ameaças, gestão e tratamento de incidentes, Threat Intelligence, avaliação de vulnerabilidades e monitoramento contínuo.

Clique aqui e conheça mais sobre as soluções da empresa e esteja preparado para lidar com as vulnerabilidades. Além das soluções para identificação, tratamento e gerenciamento dos riscos a empresa oferece o serviço de Gap Analysis, focado em avaliação de conformidade com a LGPD, ISO 27001 e demais normas do mercados, clique aqui e saiba mais.

Fonte: CISO Advisor