rede-de-energia-1.jpg

Hackers levam apenas três dias para encontrar rede industrial e atacá-la

Pesquisadores criaram honeypot falso de empresa de energia para saber como cibercriminosos o explorariam
Da Redação
14/06/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

As redes industriais estão sendo alvos de uma série de ataques de ransomware, alertaram pesquisadores de segurança, depois que um experimento revelou a velocidade com que hackers estão descobrindo vulnerabilidades em infraestruturas críticas.

A empresa de segurança Cybereason construiu um ‘honeypot’ projetado para simular uma empresa de eletricidade com operações na Europa e na América do Norte. A rede foi criada para parecer autêntica e atrair invasores em potencial, incluindo ambientes de tecnologia operacional e de TI, bem como sistemas de interface humana.

Toda a rede foi construída com problemas comuns de segurança encontrados em infraestruturas críticas reais, incluindo portas de desktop remotas voltadas para internet, senhas de média complexidade e alguns controles de segurança, incluindo segmentação de rede.

Veja isso
Windows e Linux são alvos do ransomware Tycoon
Honda fecha rede global para resolver ataque de ransomware

O honeypot entrou em operação no início deste ano e foram necessários apenas três dias para os invasores descobrirem a rede e encontrarem maneiras de comprometê-la — incluindo uma campanha de ransomware que se infiltrava em partes da rede, além de obter credenciais de logon.

“Após o lançamento do honeypot, o ransomware foi colocado em todas as máquinas”, disse Israel Zak, diretor de segurança da informação da Cybereason, à ZDNet. Os hackers instalaram o ransomware, explorando ferramentas de administração remota para obter acesso à rede e quebrando a senha do administrador para efetuar login e controlar remotamente a área de trabalho.

A partir daí, eles criaram uma backdoor (porta do fundo) em um servidor comprometido e usaram ferramentas adicionais do PowerShell, incluindo o Mimikatz, que permitiram aos invasores roubar credenciais de login, além de permitir movimentações laterais pela rede — e a capacidade de comprometer ainda mais máquinas. Os hackers realizaram varreduras para encontrar o máximo de endpoints (dispositivos na extremidade da rede) a serem acessados, obtendo o máximo possível de credenciais.

Isso significa que, além de implantar ransomware, os hackers também têm a capacidade de roubar nomes de usuário e senhas, algo que poderiam explorar ameaçando revelar dados confidenciais se um resgate não for pago.

“Somente depois que os outros estágios do ataque foram concluídos, o é que o ransomware foi detonado em todos os endpoints comprometidos simultaneamente. Essa é uma característica comum das campanhas de ransomware em vários estágios, cujo objetivo é ampliar o impacto do ataque na vítima”, contou Barak.

Os ataques de ransomware de várias fontes diferentes frequentemente descobriam o honeypot e muitos tentavam outros ataques de ransomware, enquanto outros hackers estavam mais interessados ​​em realizar o reconhecimento da rede — como foi o caso de um experimento anterior com honeypot. Embora isso possa não parecer tão perigoso quanto o ransomware, um invasor que esteja procurando maneiras de explorar a rede pode ter consequências potencialmente perigosas.

No entanto, parece que o ransomware se tornou um dos principais métodos pelos quais os invasores estão tentando explorar a infraestrutura. Eles podem facilmente comprometer o que o relatório descreve como uma “enxurrada constante” de ataques — e algo que provavelmente se tornará mais intenso.

Felizmente, os hackers que atacaram o honeypot não puderam causar nenhum dano real, mas o experimento demonstra como as infraestruturas críticas precisam ser resistentes o suficiente para evitar invasões indesejadas, projetando e operando as redes com resiliência, especialmente quando se trata de segregar redes de tecnologia operacional e de TI. Mesmo melhorias básicas, como garantir que as redes sejam protegidas por senhas complexas difíceis de adivinhar, podem ajudar, enquanto iniciativas de segurança mais complexas podem ajudar a criar proteção.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest