Logo descoberto na web, o honeypot da Trend Micro tornou-se alvo de ciberataques durante um período de seis meses durante o ano passado
Pesquisadores da Trend Micro criaram e publicaram na internet um honeypot simulando uma organização de indústria 4.0 – na verdade, seria uma empresa de prototipagem industrial. O honeypot foi logo descoberto e tornou-se alvo de ciberataques reais. Os pesquisadores mantiveram a ‘empresa’ operando por um período de seis meses durante o ano passado, para levantar informações sobre as ameaças enfrentadas pelas empresas que usam Tecnologia Operacional (enquanto escritórios e organizações de serviços usam TI). O honeypot foi comprometido para mineração de criptomoeda, foi alvo de dois ataques de ransomware e também usado para fraudar consumidores.
A falsa instalação consistia de hardware verdadeiro usado em sistemas de controle industrial (ICS), interligado a uma mistura de hosts físicos e máquinas virtuais que funcionavam na ‘fábrica’. Entre essas máquinas havia vários controladores lógicos programáveis (PLCs), interfaces homem-máquina (IHMs), estações de trabalho de robótica e engenharia separadas e um servidor de arquivos. O honeypot foi lançado no dia 6 de maio, com uma base de clientes falsa, composta por registros associados a grandes organizações anônimas de setores críticos. Em 24 de julho, um ator de ameaça já havia entrado no sistema da empresa falsa e ali instalado um minerador de criptomoedas para uso futuro. Os pesquisadores observaram o atacante retornando regularmente para restartar seu minerador.
Em agosto, os pesquisadores observaram que já havia várias incidências de comprometimento, com um ator de ameaças realizando atividades de reconhecimento e outro provocando o desligamento do sistema. Em setembro e outubro foram registrados ataques dos ransomwares Crysis e de uma variante do Phobos, respectivamente. Greg Young, vice-presidente de segurança cibernética da Trend Micro, disse que a pesquisa indica que as empresas industriais são vulneráveis a ameaças cibernéticas comuns. Segundo ele, “com muita freqüência, a discussão sobre ameaças cibernéticas a ICS tem sido confinada a ataques de nível nacional altamente sofisticados, projetados para sabotar os principais processos. Embora isso seja de fato um risco para a Indústria 4.0, nossa pesquisa prova que ameaças mais comuns são as mais prováveis”.
Young alertou os proprietários de pequenas fábricas inteligentes contra os perigos de pensar que o tamanho da empresa os torna imunes à ameaça de ataques cibernéticos: “Os proprietários de fábricas menores e plantas industriais não devem presumir que os criminosos os deixem em paz. A falta de proteções básicas pode abrir as portas para um ataque de ransomware ou de criptojacking, que pode ter sérias conseqüências para os resultados da empresa”.
Proprietários de fábricas inteligentes podem reduzir o risco representado por agentes de ameaças mal-intencionados minimizando o número de portas que ficam expostas na rede e também reforçando as políticas de controle de acesso.
Com agências internacionais
