Nozomi Networks - Ameaças cibernéticas no primeiro semestre de 2020
O cenário de ameaças OT/IoT para o primeiro semestre de 2020 viu um aumento das ameaças às redes OT e IoT, particularmente aos ataques de botnet, resgate e COVID-19 da IoT. Estes tipos de ataques estão de acordo com as tendências globais de computação e socioeconómicas. A rápida ascensão dos dispositivos da IdC, a pandemia global da COVID-19 e o crescente crescimento e sofisticação dos cibercriminosos são os principais motores. Este post no blogue fornece uma visão geral das ameaças mais activas observadas nos últimos meses pelos peritos da Nozomi Networks, bem como uma visão das tácticas e técnicas e recomendações para a protecção de redes críticas.
Que ameaças aumentaram maciçamente no primeiro semestre do ano?
As ameaças de malware da Internet sem fios estão a aumentar e serão uma parte importante do cenário de ameaças num futuro previsível. Vários factores estão a contribuir para este crescimento sem precedentes:
- Crescimento exponencial do número de dispositivos IoT.
- O uso inseguro de dispositivos IoT que são directamente acessíveis através da Internet.
- A falta de actualizações de segurança para dispositivos IdC, deixando os dispositivos vulneráveis a ataques frequentes de muitos actores da ameaça.
- A falta de conhecimentos sobre a postura de segurança dos dispositivos IdC.
Um dos botnets mais interessantes é Dark Nexus, que foi descoberto em Abril de 2020. Os operadores do Dark Nexus lançam frequentemente novas actualizações, semelhantes às do software comercial. Além disso, os operadores de Dark Nexus vendem os seus serviços de mitigação DDoS abertamente na Internet. De uma perspectiva técnica, Dark Nexus distingue-se das botnets concorrentes por um mecanismo sofisticado que traça o perfil dos processos em curso no dispositivo infectado. O objectivo deste mecanismo é identificar processos que possam dificultar a boa execução do malware. Enquanto inicialmente o Dark Nexus infectou apenas alguns milhares de dispositivos, este número pode aumentar rapidamente. Por conseguinte, o Dark Nexus deve ser tido em conta com urgência.
Será que o resgate ainda importa?
Os ataques de resgate que visam uma variedade de verticais da indústria ainda são comuns. O que mudou foram os alvos. Os gangues de resgate mudaram o seu foco para alvos maiores, mais críticos e com bolsas mais profundas, incluindo fabricantes, empresas de energia e municípios locais, entre outros. Os operadores de Ransomware tipicamente encriptam ficheiros e exigem pagamentos de resgate às vítimas. Agora estão também a exfiltrar dados empresariais e ameaçam publicá-los na Internet para exercer ainda mais pressão.
Como é que a pandemia da COVID-19 está a ser explorada para o cibercrime?
A pandemia global da COVID-19 fornece aos cibercriminosos ainda mais vectores e oportunidades de exploração. A superfície de ataque para a maioria das empresas aumentou muito com a rápida mudança para uma política de "escritório em casa". Algumas empresas dispõem de infra-estruturas que permitem o trabalho remoto, tais como VPNs e computadores portáteis de trabalho. Contudo, muitas outras empresas não estão preparadas para isso e têm de encontrar rapidamente soluções, o que abriu a porta a riscos de segurança. Além disso, o clima de medo e incerteza causado pela COVID-19 torna os empregados mais vulneráveis a ataques de engenharia social. Os cibercriminosos utilizaram principalmente e-mails de phishing na primeira fase de ataque para enganar os utilizadores, levando-os a revelar informações pessoais ou a executar software malicioso.
Um exemplo é a família de malware Chinoxy Backdoor. Incorpora um documento com informação de apoio à COVID-19 num ficheiro .rtf que explora o CVE-2017-11882. A exploração é utilizada para lançar binários maliciosos na máquina que utiliza HTTP sobre a porta 443 para comunicação C&C. Quando os cibercriminosos obtêm acesso a sistemas e roubam dados de rede, deixam sempre um rasto. Isto é uma boa notícia, porque este rasto pode ser identificado, desde que as empresas tenham uma percepção clara do que está a acontecer nas suas redes OT/IoT.
Quais são outros desafios em matéria de segurança informática?
As vulnerabilidades descobertas nos sistemas ICS proporcionam aos atacantes a capacidade de manipular dados, que podem ter impacto nos processos físicos e ser extremamente perigosos para a produção industrial. Por conseguinte, é importante considerar as tendências das ameaças de vulnerabilidade ao avaliar os riscos de segurança. O número de vulnerabilidades encontradas pela ICS-CERT no primeiro semestre de 2020 aumentou significativamente em comparação com 2019. Uma abordagem sensata para a indústria é reduzir a exposição, abordando primeiro as vulnerabilidades que são fáceis de mitigar. Ao longo do tempo, cada vez mais vulnerabilidades podem ser mitigadas. Vulnerabilidades de validação de entrada imprópria e de sobrecarga de tampão encabeçam a lista de vulnerabilidades de 2020 em termos de números. Enquanto as primeiras se enquadram na categoria das vulnerabilidades facilmente mitigadas, as segundas são mais difíceis de corrigir. Os estouros de tampão requerem actualizações de firmware dos fabricantes, substituição de dispositivos antigos e outras correcções. Infelizmente, este grupo continuará provavelmente a ser responsável por uma percentagem significativa de vulnerabilidades descobertas nos próximos anos.
Que ameaças cibernéticas são esperadas para o segundo semestre do ano?
Esperamos que os ataques de botnets IoT, de resgates e de malware COVID-19 continuem a aumentar, embora se ajustem no segundo semestre do ano. Face às ameaças crescentes e em constante mudança, é importante assegurar uma elevada resiliência cibernética e capacidades de resposta rápida. As violações de segurança relacionadas com pessoas, processos e tecnologia podem ter um grande impacto, especialmente em TI e OT em organizações com sistemas de TI, OT e IoT cada vez mais interligados. No entanto, com a tecnologia certa e um enfoque nas melhores práticas, a visibilidade e a resiliência operacional podem ser aumentadas.
Traduzido do inglês com DeepL
Original por Alessandro Di Pinto, Chefe de Investigação de Segurança da Nozomi Networks.
Correcção e edição por Victor Rossner