A ISH Tecnologia, referência nacional em cibersegurança, emite um relatório sobre as principais ameaças digitais direcionadas ao setor de água e saneamento mundial. A companhia revela que grupos de ransomware e APT aproveitam a falta de manutenção e atualizações regulares nos sistemas das empresas para acessar conteúdos sensíveis e atingir objetivos mal-intencionados.
Os atores de ameaça, pertencentes a organizações como LockBit, Clop e Cyber Av3ngers, costumam variar suas motivações entre interesses políticos e econômicos. Desse modo, para atingir suas metas maliciosas e prejudicar as instituições da área, eles utilizam técnicas sofisticadas de invasão, criptografia, além de ataques de phishing e Brute Force (“Força bruta”, em tradução livre).
Agentes criminosos
O time de Inteligência de Ameaças da ISH colheu informações e dividiu em dois principais grupos os cibercriminosos que atingem as instituições do setor de água e saneamento. Essa divisão foi feita com base nas motivações e os tipos de ataque disseminados pela organização mal-intencionada:
Atores criminosos (cibercriminosos): Costumam realizar ataques baseados na propagação de ransomwares. Eles pretendem explorar as vulnerabilidades nos servidores das organizações para causar interrupções generalizadas no abastecimento, tratamento e distribuição de água.
Atores de Estado-Nação: Possuem a habilidade de combinar operações cibernéticas e de informações para realizar ataques direcionadas a esses serviços. Pode ser mencionado, por exemplo, a guerra entre Ucrânia e Rússia, na qual foram observadas ofensivas orquestradas pelos russos para interromper setores como energia e abastecimento de água. O foco principal é causar problemas na distribuição e minar a confiança da população nessas instituições.
Devido ao seu potencial de rapidamente se adaptar e explorar brechas mínimas nas empresas, os grupos de ransomware são os que mais direcionam ataques a esse setor. Isso acontece já que uma paralisação desses serviços pode resultar em lucro financeiro para os cibercriminosos, principalmente por se tratar de atividades críticas.
Principais grupos e vulnerabilidades
A ISH também destrinchou as principais características, métodos de atuação e informações relevantes dos grupos mais proeminentes. Entre as organizações mal-intencionadas expostas pela empresa estão:
LockBit (Ransomware): Conhecido por ser um dos grupos de ransomware mais atuantes do cenário online. Esse agente malicioso tem como características a execução de operações avançadas e a implementação de malwares sofisticados na disseminação de seus ataques.
O grande potencial de risco do grupo se deve à sua operação de Ransomware-as-a-Service (RaaS), modelo de crime cibernético que consiste em um serviço de propagação de malwares, em larga escala, com remuneração pelo feito.
Entre as principais vulnerabilidades exploradas pelo LockBit, destacam-se: CVE-2018-13379; CVE-2019-0708; CVE-2020-1472; CVE-2021-22986; CVE-2021-44228; CVE-2023-27350; e CVE-2023-0669.
Em relação ao setor de água e saneamento, as principais operações do LockBit têm como objetivo principal a criptografia de empresas. Dessa forma, eles exigem pagamentos para liberar a chave necessária, para que a companhia (vítima) recupere os arquivos criptografados e as informações confiscadas.
Clop (Ransomware): Inicialmente, o grupo baseava suas operações na exploração de vulnerabilidades para o comprometimento de organizações. Os primeiros ataques realizados pela organização maliciosa eram realizados por meio de phishing e tinham como motivação principal alguns objetivos financeiros.
Apesar de ter uma parcela do grupo capturada pelas forças da lei em 2021, o Clop conseguiu se readaptar e modificar seus métodos de operação, de forma que eles ficassem ainda mais discretos e eficientes.
As principais vulnerabilidades visadas pelo grupo de ransomware Clop, são: CVE-2021-2701; CVE-2021-27102; CVE-2021-27103; CVE-2021-27104; CVE-2021-35211; CVE-2022-41080; CVE-2023-27350; CVE-2023-34362; e CVE-2023-0669.
Cyber Av3ngers (Ator de Estado-Nação – Irã): O grupo, supostamente ligado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), ficou conhecido por focar em ataques a infraestruturas críticas, especialmente nos EUA e em Israel. Ele tem como alvo sistemas SCADA, no país israelense.
O SCADA é um sistema supervisório. Ele é utilizado em processos industriais para auxiliar no gerenciamento do desempenho de máquinas e equipamentos. Esse software de supervisão tem como componentes principais: uma rede de comunicação, engrenagens e sensores.
O Cyber Av3ngers é considerado um ator de Ameaças Persistente Avançada (APT). O grupo explora vulnerabilidades conectadas a internet e emergiu em meio ao conflito entre Israel e Hamas. Os primeiros ataques desse agente malicioso foram contra sistemas ferroviários e instalações de tratamento de água em Israel. Hoje, como explora organizações que tem conexão com a internet, os cibercriminosos exploram ferramentas tecnológicas e buscam afetar dispositivos fabricados pela empresa israelense Unitronics.
Para conseguir seus objetivos, eles utilizam de técnicas de criptografia, como credenciais e portas de acesso padrão.
Prevenção
Por fim, a ISH Tecnologia elenca dicas e recomendações a fim de evitar o avanço de atores de ameaça em direção aos setores mencionados:
– Mantenha backups offline de dados e realize regularmente backup e restauração;
– Implemente autenticação multifator para todos os serviços na medida do possível, principalmente para correio eletrônico, redes privadas virtuais e contas que acessam sistemas críticos;
– Instale um plano de recuperação para manter e reter múltiplas cópias de dados sensíveis ou proprietários e servidores em um local fisicamente separado, segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento ou na nuvem);
– Filtre o tráfego de rede para impedir que origens desconhecidas ou não confiáveis acessem serviços remotos em sistemas internos.