Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

Industroyer2 traz risco imediato para o setor elétrico

Novo malware detectado na Ucrânia é variante do Industroyer, que em 2016 causou um apagão ao atingir setor elétrico do país
Da Redação
13/04/2022

Empresas que atendem o setor de segurança de sistemas industriais no mundo inteira estão alertando seus clientes para a elevação do risco de ataques com origem no grupo russo SandWorm: ele tentou implantar o malware Industroyer2 contra subestações elétricas de alta tensão na Ucrânia. Esse malware é uma variante do Industroyer, responsável pelo apagão de Kiev em 16 de Dezembro de 2016, exatamente uam semana antes do Natal. O industroyer foi considerado pela ESET, empresa eslovaca que o analisou para o CERT-UA, a maior ameaça para sistemas de controle industrial desde o ataque do Stuxnet, em 2010.

O ataque atual usou malware compatível wipers de disco para sistemas operacionais Windows, Linux e Solaris. Pesquisadores da ESET colaboraram novamente com o CERT-UA para analisar o ataque contra a empresa de energia ucraniana. As ações destrutivas foram programadas para 8 de Abril de 2022, mas os artefatos sugerem que o ataque estava planejado há pelo menos duas semanas.

Veja isso
Controles mínimos de segurança cibernética para o setor elétrico
ONS publica rotina de cyber para todo o setor elétrico

Alexandre Freire, da Nozomi Networks

O engenheiro Alexandre Freire, Technical Sales Engineering da Nozomi Networks para a América Latina, faz um alerta para para esse risco nas empresas que dependem de sistemas de controle industrial em suas operações, especialmente as do setor elétrico. Freire observa que embora o setor elétrico brasileiro já conte com regras de regulação para isso, sua observação é de que as empresas têm a possibilidade de atender essas regras e assim estar cobertas em termos de compliance, mas ainda continuar com fragilidades de segurança nos seus itens de operação: “É importante ressaltar que compliance é uma coisa, mas a segurança é outra. Então, uma empresa pode estar em conformidade com as regras do regulador mas ainda não ter alcançado a maturidade em segurança”.

A Nozomi Networks, diz Freire, foi uma das empresas que atualizou seu pacote de inteligência de ameaças com regras de indicadores de comprometimento (IoCs) do Industroyer2, para detectar e alertar os clientes sobre qualquer atividade vinculada ao malware. Houve relatos de alguns IPs codificados na amostra de malware, o que é uma indicação de que os agentes da ameaça tinham conhecimento profundo do ambiente em que o estavam implantando.

A Nozomi publicou para os administradores a seguinte lista de procedimentos, para que elevem a proteção das empresas do setor elétrico:

  • Higiene cibernética básica : redefinir senhas, verificar o acesso e as permissões da conta/rede de funcionários e fornecedores, verificar a rede em busca de portas abertas para fechá-las ou protegê-las.
  • Utilizar as regras YARA para pesquisar e gerar alertas sobre atividade de malware
  • Usar ferramentas de detecção de anomalias para detectar quaisquer alterações ou variações de malware, bem como qualquer atividade irregular que ocorra nos ambientes OT
  • Usar um firewall automatizado em conjunto com uma ferramenta de detecção de anomalias para interromper outros comandos do ataque
  • Caçar ameaças em atividades suspeitas na rede; isso pode ajudar a descobrir invasores logo no início
  • Aderir ao aviso de 2017, da CISA, sobre o assunto caso essas medidas de segurança ainda não tenham sido implementadas:
    “hxxps://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-17-206-01”

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)