Quase um quinto das organizações atingidas pela backdoor Sunburst em decorrência do ataque à cadeia de suprimentos da SolarWinds, que explorou as atualizações do software de gerenciamentode rede Orion da empresa, são do setor de manufatura, de acordo com uma nova análise da Kaspersky.
Embora os pesquisadores já tenham descoberto detalhes técnicos da backdoor Sunburst que foi incorporada ao Orion SolarWinds no final do ano passado, o impacto do ataque ainda está sendo investigado. Oficialmente foi confirmado que cerca de 18 mil usuários podem ter instalado versões da backdoor no Orion SolarWinds, potencialmente deixando-o sob risco de novos ataques, mas a Kaspersky procurou obter mais informações sobre os tipos de organizações afetadas.
Para fazer isso, os pesquisadores do Kaspersky ICS CERT compilaram uma lista de quase 2 mil domínios legíveis e atribuíveis a partir de nomes de domínio internos decodificados disponíveis, obtidos de nomes DNS gerados pelo algoritmo de geração de Sunburst DomainName. Isso mostrou que cerca de um terço (32,4%) de todas as vítimas eram do setor industrial, com a manufatura (18,11% de todas as vítimas) de longe a mais afetada. Em seguida vieram utilities (3,24%), construção (3,03%), transporte e logística (2,97%) e óleo e gás (1,35%).
Veja isso
Como invasores se esconderam por 15 meses na SolarWinds
Invasores da SolarWinds acessaram código-fonte da Microsoft
As regiões em que essas indústrias estavam baseadas eram abrangentes, incluindo Benin, Canadá, Chile, Djibouti, Indonésia, Irã, Malásia, México, Holanda, Filipinas, Portugal, Rússia, Arábia Saudita, Taiwan, Uganda e os EUA .
“O software SolarWinds é altamente integrado em muitos sistemas ao redor do mundo em diferentes setores e, como resultado, a escala do ataque da Sunburst é incomparável, embora muitas organizações que foram afetadas podem não ter sido do interesse dos invasores inicialmente. Ainda que não tenhamos evidências de um ataque de segundo estágio entre essas vítimas, não devemos descartar a possibilidade de que possa ocorrer no futuro. Portanto, é crucial para as organizações que podem ser vítimas do ataque descartar a infecção e garantir que tenham os procedimentos corretos de resposta a incidentes em vigor”, alerta Maria Garnaeva, pesquisadora de segurança sênior da Kaspersky.
A empresa de segurança cibernética informou que as possíveis vítimas do comprometimento do SolarWinds devem verificar se instalaram versões da backdoor e procurar indicadores conhecidos de comprometimento, conforme exibido no Alerta AA20-35A da CISA.
À medida que as consequências do incidente de alto perfil continuam, no início da semana passada vários outros fornecedores de segurança cibernética revelaram que foram atacados pelos mesmos agentes de ameaças que comprometeram a SolarWinds.
