Grupos de ransomware atacam empresas de água e saneamento, revela estudo

Análise da empresa ISH Tecnologia apresenta principais grupos, estratégicas e motivações envolvidas em incidentes contra os setores

Compartilhar:

A ISH Tecnologia, referência nacional em cibersegurança, emite um relatório sobre as principais ameaças digitais direcionadas ao setor de água e saneamento mundial. A companhia revela que grupos de ransomware e APT aproveitam a falta de manutenção e atualizações regulares nos sistemas das empresas para acessar conteúdos sensíveis e atingir objetivos mal-intencionados.

 

Os atores de ameaça, pertencentes a organizações como LockBit, Clop e Cyber Av3ngers, costumam variar suas motivações entre interesses políticos e econômicos. Desse modo, para atingir suas metas maliciosas e prejudicar as instituições da área, eles utilizam técnicas sofisticadas de invasão, criptografia, além de ataques de phishing e Brute Force (“Força bruta”, em tradução livre).

 

Agentes criminosos

O time de Inteligência de Ameaças da ISH colheu informações e dividiu em dois principais grupos os cibercriminosos que atingem as instituições do setor de água e saneamento. Essa divisão foi feita com base nas motivações e os tipos de ataque disseminados pela organização mal-intencionada:

 

Atores criminosos (cibercriminosos): Costumam realizar ataques baseados na propagação de ransomwares. Eles pretendem explorar as vulnerabilidades nos servidores das organizações para causar interrupções generalizadas no abastecimento, tratamento e distribuição de água.

 

Atores de Estado-Nação: Possuem a habilidade de combinar operações cibernéticas e de informações para realizar ataques direcionadas a esses serviços. Pode ser mencionado, por exemplo, a guerra entre Ucrânia e Rússia, na qual foram observadas ofensivas orquestradas pelos russos para interromper setores como energia e abastecimento de água. O foco principal é causar problemas na distribuição e minar a confiança da população nessas instituições.

 

Devido ao seu potencial de rapidamente se adaptar e explorar brechas mínimas nas empresas, os grupos de ransomware são os que mais direcionam ataques a esse setor. Isso acontece já que uma paralisação desses serviços pode resultar em lucro financeiro para os cibercriminosos, principalmente por se tratar de atividades críticas.

 

Principais grupos e vulnerabilidades

A ISH também destrinchou as principais características, métodos de atuação e informações relevantes dos grupos mais proeminentes. Entre as organizações mal-intencionadas expostas pela empresa estão:

 

LockBit (Ransomware): Conhecido por ser um dos grupos de ransomware mais atuantes do cenário online. Esse agente malicioso tem como características a execução de operações avançadas e a implementação de malwares sofisticados na disseminação de seus ataques.

 

O grande potencial de risco do grupo se deve à sua operação de Ransomware-as-a-Service (RaaS), modelo de crime cibernético que consiste em um serviço de propagação de malwares, em larga escala, com remuneração pelo feito.

 

Entre as principais vulnerabilidades exploradas pelo LockBit, destacam-se: CVE-2018-13379; CVE-2019-0708; CVE-2020-1472; CVE-2021-22986; CVE-2021-44228; CVE-2023-27350; e CVE-2023-0669.

 

Em relação ao setor de água e saneamento, as principais operações do LockBit têm como objetivo principal a criptografia de empresas. Dessa forma, eles exigem pagamentos para liberar a chave necessária, para que a companhia (vítima) recupere os arquivos criptografados e as informações confiscadas.

 

Clop (Ransomware): Inicialmente, o grupo baseava suas operações na exploração de vulnerabilidades para o comprometimento de organizações. Os primeiros ataques realizados pela organização maliciosa eram realizados por meio de phishing e tinham como motivação principal alguns objetivos financeiros.

 

Apesar de ter uma parcela do grupo capturada pelas forças da lei em 2021, o Clop conseguiu se readaptar e modificar seus métodos de operação, de forma que eles ficassem ainda mais discretos e eficientes.

 

As principais vulnerabilidades visadas pelo grupo de ransomware Clop, são: CVE-2021-2701; CVE-2021-27102; CVE-2021-27103; CVE-2021-27104; CVE-2021-35211; CVE-2022-41080; CVE-2023-27350; CVE-2023-34362; e CVE-2023-0669.

 

Cyber Av3ngers (Ator de Estado-Nação – Irã): O grupo, supostamente ligado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), ficou conhecido por focar em ataques a infraestruturas críticas, especialmente nos EUA e em Israel. Ele tem como alvo sistemas SCADA, no país israelense.

 

O SCADA é um sistema supervisório. Ele é utilizado em processos industriais para auxiliar no gerenciamento do desempenho de máquinas e equipamentos. Esse software de supervisão tem como componentes principais: uma rede de comunicação, engrenagens e sensores.

 

O Cyber Av3ngers é considerado um ator de Ameaças Persistente Avançada (APT). O grupo explora vulnerabilidades conectadas a internet e emergiu em meio ao conflito entre Israel e Hamas. Os primeiros ataques desse agente malicioso foram contra sistemas ferroviários e instalações de tratamento de água em Israel. Hoje, como explora organizações que tem conexão com a internet, os cibercriminosos exploram ferramentas tecnológicas e buscam afetar dispositivos fabricados pela empresa israelense Unitronics.

 

Para conseguir seus objetivos, eles utilizam de técnicas de criptografia, como credenciais e portas de acesso padrão.

 

Prevenção

Por fim, a ISH Tecnologia elenca dicas e recomendações a fim de evitar o avanço de atores de ameaça em direção aos setores mencionados:

 

– Mantenha backups offline de dados e realize regularmente backup e restauração;

 

– Implemente autenticação multifator para todos os serviços na medida do possível, principalmente para correio eletrônico, redes privadas virtuais e contas que acessam sistemas críticos;

 

– Instale um plano de recuperação para manter e reter múltiplas cópias de dados sensíveis ou proprietários e servidores em um local fisicamente separado, segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento ou na nuvem);

 

– Filtre o tráfego de rede para impedir que origens desconhecidas ou não confiáveis acessem serviços remotos em sistemas internos.

 

Conteúdos Relacionados

Security Report | Overview

Golpes em plataformas de hospedagem miram roubo de dados bancários

A ESET identificou o Telekopye, um kit de ferramentas que opera como um bot do Telegram entre golpistas, visando plataformas...
Security Report | Overview

Ramsomware à prova de Quantum Computing deve chegar em 2025, alerta estudo

Fraudes financeiras em smartphones e ransomware avançado devem ser os maiores desafios para as empresas no próximo ano
Security Report | Overview

Pesquisa alerta para malwares fraudadores em devices Android e iOS brasileiros

ISH Tecnologia revela que softwares maliciosos são capazes de monitorar atividades online e coletar dados sensíveis...
Security Report | Overview

Black Friday: Mais de 100 páginas falsas são criadas por dia para aplicar golpes

Especialistas indicam que a taxa de geração de sites maliciosos pode triplicar até a chegada do dia de promoções, marcado...