Os pesquisadores identificam mais quatro operações de ataque cibernético visando redes industriais, serviços públicos e outras infraestruturas críticas, à medida que as operações de hacking mal-intencionadas recebem um aumento nos recursos - mas ataques simples ainda funcionam.

Mais grupos de hackers do que nunca estão visando ambientes industriais enquanto os ciberataques tentam se infiltrar nas redes de empresas que fornecem serviços vitais, incluindo energia elétrica, água, petróleo e gás e manufatura.

As ameaças incluem grupos cibercriminosos que buscam roubar informações ou criptografar sistemas com ransomware, bem como operações de hackers apoiadas pelo Estado na tentativa de determinar a possível interrupção que podem causar com ataques cibernéticos contra tecnologia operacional (OT).

De acordo com pesquisadores de cibersegurança da Dragos , quatro novos grupos de hackers visando sistemas industriais foram detectados no ano passado - e há um aumento no investimento de ciberataques visando a indústria e sistemas de controle industrial.

Os quatro novos grupos identificados ao longo do ano passado - nomeados pelos pesquisadores como Stibnite, Talonite, Kamacite e Vanadinite - vêm em adição a 11 grupos de hackers previamente identificados visando sistemas de controle industrial.

Alguns desses novos grupos têm alvos muito específicos - por exemplo, Stibnite se concentra em empresas de turbinas eólicas que geram energia elétrica no Azerbaijão, enquanto Talonite se concentra quase exclusivamente na tentativa de obter acesso a fornecedores de eletricidade nos EUA.

O restante dos novos grupos de hackers são mais generalizados em seus alvos; Kamacite - que Dragos vincula ao grupo Sandworm - tem como alvo operações industriais de empresas de energia na América do Norte e Europa.

Enquanto isso, a Vanadinite conduz operações contra energia, manufatura e transporte na América do Norte, Europa, Austrália e Ásia, com foco na coleta de informações e no compromisso de ICS.

A descoberta de quatro operações adicionais de hacking visando sistemas industriais representa um motivo de preocupação - mas sua descoberta também indica que há uma visibilidade crescente de ameaças aos sistemas industriais. Essas ameaças podem ter passado despercebidas nos anos anteriores.

"Quanto mais visibilidade construímos no espaço OT, maior compreensão de seu cenário de ameaças e dos adversários ativos lá podemos identificar", disse Sergio Caltagirone, vice-presidente de inteligência de ameaças da Dragos, ao ZDNet.

"Os ataques de rede de OT exigem uma abordagem diferente da segurança de TI tradicional. Os incidentes de TI apresentam efeitos e incidentes de alta frequência e impacto relativamente baixo quando comparados aos ataques de OT de frequência mais baixa, mas com impactos e efeitos potencialmente muito altos".

No entanto, de acordo com o artigo de pesquisa, a visibilidade continua sendo um problema para redes industriais, com 90% das organizações examinadas por Dragos não tendo um domínio total de sua própria rede de OT , algo que poderia ajudar os invasores cibernéticos a permanecerem sem serem detectados.

Em muitos casos, os hackers conseguem combinar essa falta de visibilidade com a capacidade de se esconder à vista de todos, abusando de credenciais de login legítimas para ajudar a se movimentar pela rede.

Freqüentemente, as campanhas direcionadas a sistemas industriais envolvem ataques de phishing ou a exploração de serviços remotos , permitindo que os invasores usem contas reais para realizar atividades maliciosas e, ao mesmo tempo, evitando que sejam detectados como suspeitos.

"A falta de visibilidade aumenta os riscos significativamente porque permite aos adversários liberdade para conduzir as operações desimpedidas, tempo para entender o ambiente da vítima para localizar seus objetivos, alcançar os efeitos desejados e satisfazer a intenção de conduzir um acordo", disse Caltagirone.

Esta atividade pode ter efeitos físicos fora de um ambiente de rede, como demonstrado recentemente quando um hacker malicioso foi capaz de modificar as propriedades químicas da água potável após comprometer a rede da estação de tratamento de água da cidade de Oldsmar, Flórida .

Também há exemplos de ataques cibernéticos que obtiveram acesso a redes de energia elétrica na medida em que foram capazes de desligar a energia.

No entanto, existem procedimentos de segurança cibernética que as organizações industriais podem adotar para aumentar a visibilidade de suas próprias redes e ajudar a proteger os sistemas contra intrusões cibernéticas.

Isso inclui identificar quais ativos exercem controle sobre operações críticas e priorizar a segurança para ajudar a dificultar o acesso dos invasores - e configurar procedimentos que tornam os ataques mais fáceis de identificar.

As organizações também devem tentar aplicar a segmentação de rede, separando a tecnologia operacional da tecnologia da informação, de forma que, no caso de invasores comprometendo a rede de TI, não seja simples para eles moverem lateralmente para os controles de OT na mesma rede.

As credenciais de login também devem ser devidamente protegidas por meio do uso de autenticação multifator , enquanto as organizações devem tentar evitar o uso de credenciais de login padrão para ajudar a fornecer barreiras adicionais para invasores remotos.

Fonte: ZDNet