Os grupos de ransomware continuaram a visar organizações e infraestruturas industriais e a interromper operações de tecnologia operacional (OT) no segundo trimestre de 2022, destaca o relatório da Dragos para esse período. Mesmo nos casos em que o OT não é o alvo pretendido, os ataques de ransomware na TI corporativa onde o OT está presente podem impactar negativamente as operações do OT afirma o documento. No terceiro trimestre de 2022, a Dragos avalia com alta confiança que o ransomware continuará a interromper as operações de OT, seja por meio da integração de processos de eliminação de OT em cepas de ransomware, redes achatadas permitindo que o ransomware se espalhe em ambientes OT ou por meio de desligamentos preventivos de ambientes OT por operadores para evitar que o ransomware se espalhe para os sistemas OT.
Veja isso
Dragos recebe aporte série D: US$ 200 milhões
Cenário de segurança industrial está mudando rapidamente
A Dragos foi notificada de vários incidentes de ransomware que atingiram infraestruturas corporativas e fizeram com que as operações das organizações visadas fossem interrompidas. No caso da Foxconn em maio deste ano, o ransomware Lockbit 2.0 criptografou mais de 1.200 servidores em uma das fábricas da empresa no México, causando uma interrupção na operação por algumas semanas. Vários grupos de ransomware, como Conti e AlphaV, focaram em setores governamentais neste trimestre – como o governo da Costa Rica.
A analisa e monitora as atividades de 43 grupos de ransomware que visam organizações e infraestruturas industriais. Desses, apenas 23 estiveram ativos durante o segundo trimestre de 2022. A empresa registrou 125 incidentes de ransomware no segundo trimestre, em comparação com 158 no anterior. A Dragos avalia, embora com pouca com pouca confiança, que a paralisação das operações do Conti, em meados de maio, pode ter causado essa queda. O Conti foi responsável por 25% e 18%, respectivamente, do total de incidentes de ransomware direcionados a organizações industriais e infraestruturas nos últimos dois trimestres. O grupop encerrou suas operações duas semanas depois que o Departamento de Estado dos EUA anunciou recompensas por qualquer informação sobre os líderes do Conti.
Por outro lado, no último trimestre nasceu um novo e ativo grupo de ransomware chamado Black Basta, responsável por grandes incidentes de ransomware, como o incidente de maio que interrompeu as operações da AGCO por semanas. Embora os pesquisadores de segurança estejam tentando aprender mais sobre o Black Basta, alguns supõem que ex-membros do grupo Conti e REvil estão operando esse novo grupo de ransomware, já que há semelhanças na natureza da operação e na seleção das vítimas.
Globalmente, 37% dos ataques de ransomware visam organizações e infraestruturas industriais na Europa, totalizando 46 incidentes, conforme mostrado acima; A América do Norte vem em segundo lugar com 29% ou 36 incidentes; Ásia com 26% ou 32 incidentes; América do Sul com 5%; o Oriente Médio com 3%; e África com 1 por cento. Embora os 29% dos ataques de ransomware direcionados a organizações industriais na América do Norte sejam menores do que no último trimestre (42%), o número de ocorrências em infraestrutura industrial, 36, ainda é preocupante. A América do Norte continua sendo uma das regiões mais visadas pelo ransomware. Notavelmente, a porcentagem de casos relatados na Ásia saltou para 26% em comparação com 9% no último trimestre.
A íntegra do relatório está em “https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q2-2022/”
