Os ataques de ransomware se estenderam ao setor industrial no ano passado a tal ponto que esse tipo de incidente se tornou a ameaça número um no setor industrial. Dois grupos de ransomware, LockBit e Conti, foram os mais ativos em ataques a sistemas de controle industrial (ICS) e ambientes de tecnologia operacional (OT) em 2021.
Um relatório da empresa de segurança cibernética industrial Dragos destaca que o setor industrial se tornou o alvo preferencial de hackers motivados por ganhos financeiros e grupos de ameaças patrocinados por Estados-nação. Monitorando as ameaças no setor industrial no ano passado, a empresa descobriu um salto nos incidentes de ransomware direcionados a redes ICS/OT.
De acordo com as descobertas da Dragos, os alvos mais comuns para grupos de ransomware foram no setor de manufatura, com 211 ataques, representando 65% do total, seguidos por 35 comprometimentos bem-sucedidos de empresas do setor de alimentos e bebidas e 27 ataques contra companhias do setor de transporte. Os pesquisadores observam que a vertical de produção é a mais exposta a ataques porque esse “setor geralmente é o menos maduro em suas defesas de segurança de OT”.
Uma visão geral da segurança dessas empresas revela uma tendência preocupante, dizem os pesquisadores, com base nos dados coletados durante os compromissos com os clientes. Muitas organizações têm visibilidade muito limitada da infraestrutura, não segmentam corretamente os perímetros de rede, têm muitos dispositivos com uma conexão externa e uma grande porcentagem de credenciais compartilhadas entre a rede corporativa (TI) e o ambiente de OT.
Esses problemas, segundo os pesquisadores da Dragos, preparam o terreno para ataques bem-sucedidos, permitindo que os operadores de ameaças migrem da rede de TI para o ambiente de OT, mesmo que a violação deste último não seja o objetivo principal. Depois de obterem acesso à rede de TI para executar o componente do ransomware, os hackers podem se mover lateralmente para os sistemas OT, permitindo que solicitem resgates maiores, causando um impacto mais prejudicial, observam os pesquisadores no relatório.
Veja isso
Variante Lockbit para VMware ESXi e Linux é analisada
Gangue do ransomware Conti assume a operação do TrickBot
Ainda segundo os pesquisadores, isso permitiu que o ransomware se tornasse a causa número um de comprometimentos no setor industrial. “Embora o ransomware tenha como alvo principalmente os sistemas de TI corporativos, há várias instâncias em que afeta a OT diretamente e em ambientes integrados de TI e OT.”
Ataques do LockBit e Conti no setor ICS
Dos grupos de ransomware que atacam a infraestrutura industrial, LockBit e Conti são de longe os mais ativos, respondendo por 51% dos incidentes no ano passado. Segundo a Dragos, os dois grupos de ransomware são responsáveis por 166 ataques a empresas do setor de ICS, sendo o LockBit responsável por 103 incidentes e o Conti, 63. Este último assumiu o controle da operação TrickBot recentemente e provavelmente aumentará suas incursões em redes OT.
Em 70% de todos os incidentes de ransomware que a Dragos analisou, os alvos foram no setor de manufatura, sendo os subsetores mais afetados produtos de metal, automotivo, plásticos, tecnologia e embalagens.
As ameaças de ransomware não estão mostrando nenhum declínio, apesar dos governos priorizarem os esforços de aplicação da lei para levar os operadores de ransomware como serviço (RaaS) e suas afiliadas à Justiça.A Dragos avalia que essa ameaça continuará interrompendo as operações industriais e os ambientes de OT neste ano. E cita como uma das causas a adoção de design simplificado de rede plana para reduzir o custo e o esforço de manutenção, diminuindo o número de roteadores e switches, o que leva a um ambiente menos seguro devido à falta de segmentação.
