Pesquisa revela que cibercriminosos estão mirando infraestrutura crítica

A Claroty, empresa global de proteção de sistemas ciberfísicos (CPS), anunciou as descobertas de uma nova pesquisa que revela que os CPS estão se tornando um alvo preferencial de agentes de ameaça oportunistas, frequentemente motivados por fatores políticos e sociais relacionados a eventos geopolíticos. O novo relatório do Team82, equipe de pesquisa da Claroty, intitulado “Analisando as Tendências de Ataques a CPS” (Analyzing CPS Attack Trends), considera a análise de mais de 200 ataques realizados por mais de 20 grupos de agentes de ameaça contra sistemas ciberfísicos em diversos setores ao longo de um período de 12 meses.

A pesquisa mostra que 82% dos ataques contra sistemas ciberfísicos (CPS) envolvem o uso do protocolo Virtual Network Computing (VNC) de clientes para acessar remotamente ativos expostos e conectados à internet. Em 66% dos incidentes, houve comprometimento de interfaces homem-máquina (HMI) ou de sistemas SCADA (Supervisory Control and Data Acquisition), responsáveis por controlar processos industriais. Ambas as classes de dispositivos supervisionam processos industriais em tempo real, e qualquer acesso ilícito ou manipulação pode ter consequências extremamente graves para as organizações e para as populações que elas atendem, incluindo, entre outros impactos, interrupção de serviços, danos físicos a ativos ou riscos à segurança de trabalhadores e do público em geral. Muitos desses ataques também são relativamente simples do ponto de vista técnico, não exigindo a exploração de vulnerabilidades específicas nem conhecimento aprofundado dos dispositivos ou protocolos utilizados.

Os dados revelaram que os ataques desses grupos direcionados a sistemas ciberfísicos (CPS) foram, em grande parte, motivados por objetivos políticos ou sociais, alinhados às motivações conhecidas de agentes apoiados por governos. Diante das tensões geopolíticas prolongadas no Oriente Médio e da guerra entre Rússia e Ucrânia, que já dura quatro anos, a Team82 da Claroty atribuiu muitos desses incidentes a agentes de ameaça ligados à Rússia e ao Irã. Entre as principais conclusões, destacam-se:

– 81% dos incidentes conduzidos por grupos ligados ao Irã tiveram como alvo organizações nos Estados Unidos e em Israel.

– 71% dos incidentes conduzidos por grupos ligados à Rússia tiveram como alvo organizações em países da União Europeia (UE).

– Entre os países da UE mais visados por grupos ligados à Rússia, destacam-se Itália (18%), França (11%) e Espanha (9%).

“Nossa pesquisa revela uma escalada significativa na forma como agentes maliciosos estão infiltrando os sistemas operacionais que sustentam as operações diárias da sociedade”, disse Amir Preminger, CTO e líder do Team82 na Claroty. “Os cibercriminosos estão utilizando meios relativamente simples, do ponto de vista técnico, para atingir setores críticos — desde manufatura, água e saneamento, geração de energia até saúde — indústrias cuja interrupção poderia resultar em consequências graves, e até perigosas. Com base no que foi identificado na pesquisa, há uma necessidade clara de reforçar os esforços de segurança para sistemas ciberfísicos (CPS), e as organizações não podem mais tolerar práticas de cibersegurança frágeis ou negligentes em torno desses dispositivos”, completou.

As organizações responsáveis por ambientes de sistemas ciberfísicos (CPS) podem adotar diversas medidas para fortalecer suas defesas:

Proteger dispositivos expostos à Internet: verifique as configurações de tecnologia operacional (OT), de dispositivos inteligentes conectados e de dispositivos da Internet das Coisas Médicas (IoMT), garantindo que existam medidas adequadas para impedir a enumeração e identificação desses dispositivos, já que eles estão cada vez mais conectados à Internet.

Corrigir configurações inseguras por design ou padrão: os responsáveis pela defesa devem estar atentos a credenciais padrão ou conhecidamente fracas e alterá-las de forma proativa à medida que os dispositivos são colocados em operação no ambiente online. Também é fundamental avaliar e compreender outras configurações inseguras, garantindo que quaisquer problemas de segurança sejam corrigidos antes que os dispositivos sejam conectados à Internet.

Atualizar protocolos inseguros: como muitos dos ataques analisados pelo Team82 da Claroty envolveram o uso de protocolos inseguros por design, como VNC e Modbus, que não contam com recursos básicos de segurança, como autenticação e criptografia, os responsáveis pela segurança devem mapear seus ativos conectados mais críticos e migrar para protocolos de comunicação mais seguros.

Conheça o adversário: é importante compreender as motivações e táticas dos grupos de hackers — especialmente hacktivistas, no caso desta pesquisa — para identificar possíveis próximos alvos dentro de um determinado setor, ou avaliar se ativos de sistemas ciberfísicos (CPS) podem estar expostos de forma semelhante à de outras organizações que já foram comprometidas.

“Embora muitos desses ataques tenham como alvo organizações em outras regiões, a América Latina também enfrenta um cenário crescente de exposição de sistemas industriais e infraestruturas críticas conectadas à Internet”, afirmou Italo Calvano, vice-presidente regional da Claroty para a América Latina. “Isso reforça a importância de que empresas e operadores de infraestrutura na região adotem uma abordagem proativa de segurança para seus ambientes de sistemas ciberfísicos. Organizações precisam tratar essa proteção como uma prioridade estratégica, especialmente em setores como energia, manufatura, saúde e saneamento, onde qualquer interrupção pode gerar impactos operacionais e sociais significativos”, alertou.

Serviço
www.claroty.com