Kaspersky reporta ataques ao setor industrial visando infraestruturas na cloud

Kaspersky reporta ataques ao setor industrial visando infraestruturas na cloud

Um relatório recente da Kaspersky sobre ciberataques dirigidos especificamente ao setor industrial revela o modus operandis dos grupos especializados que operam nesta área. Indústrias de manufatura e sistemas de controlo industrial (ICS) e integração foram particularmente afetadas, o que destaca a necessidade urgente de um maior reforço da cibersegurança.

Durante a investigação, a Kaspersky descobriu uma série de ataques direcionados com o objetivo de estabelecer um canal permanente de roubo (exfiltração) de dados. Estas campanhas mostraram semelhanças importantes com ataques já conhecidos como ExCone e DexCone, sugerindo o envolvimento do grupo APT31, também conhecido como Judgment Panda e Zirconium.

A investigação revelou ainda o uso de recursos avançados concebidos para acesso remoto, mostrando o amplo conhecimento e experiência dos grupos para contornar as medidas de segurança. Estas ferramentas possibilitaram o estabelecimento de canais contínuos para violações de dados, inclusive de sistemas extremamente seguros.

É importante observar que mais uma vez foram usadas técnicas de sequestro de DLL (ou seja, uso indevido de programas legítimos com vulnerabilidades para carregar DLLs maliciosas na memória) para tentar evitar a deteção precoce do ataque.

Serviços de armazenamento de dados na cloud, como o Dropbox e Yandex Disk, bem como plataformas de partilha temporário de ficheiros, foram usados para roubar dados e implantar malware. Também foi instalada uma infraestrutura de comando e controlo (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controlo das redes comprometidas.

Nestes ataques, foram implantadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, esta família de malware evoluiu, com novas variantes a surgir em 2022, para atingir especificamente a infraestrutura de organizações industriais.

Além disso, foi descoberto durante a investigação um novo malware chamado MeatBall, um backdoor com amplas capacidades de acesso remoto.

"Não podemos subestimar os riscos significativos que os ataques direcionados representam para a indústria. À medida que as organizações continuam a digitalizar as suas operações e dependem de sistemas interligados, são inegáveis as possíveis consequências de ataques bem-sucedidos a infraestruturas críticas. Esta análise vem sublinhar a importância fundamental da implementação de medidas resilientes de cibersegurança para proteger as infraestruturas industriais contra ameaças existentes e futuras", sublinha Kirill Kruglov, investigador sénior de segurança da ICS CERT da Kaspersky.

Para ler o relatório completo sobre as principais conclusões desta análise, visite o site da ICS CERT.

Para manter os seus sistemas OT protegidos contra as mais diversas ameaças, os especialistas da Kaspersky recomendam:

• Realize avaliações de segurança aos sistemas OT regularmente para identificar e eliminar possíveis problemas de cibersegurança.
• Estabeleça a triagem e avaliação contínuas de vulnerabilidades como base para um processo eficaz de gestão de vulnerabilidades. Soluções dedicadas podem ser uma ajuda eficiente e uma fonte de informações práticas exclusivas.
• Faça atualizações aos principais componentes da rede OT da empresa rapidamente; aplicar correções e patches de segurança ou implementar medidas de compensação assim que for tecnicamente possível é essencial para evitar grandes incidentes que podem custar milhões devido à interrupção dos processos de produção.
• Use soluções de EDR como o Kaspersky Endpoint Detection and Response para detetar rapidamente ameaças sofisticadas, investigar e corrigir incidentes efetivamente.
• Melhore a resposta a técnicas maliciosas novas e avançadas, criando e fortalecendo as capacidades de prevenção, deteção e resposta a incidentes das suas equipas. Uma das principais medidas para o conseguir é a realização de formações dedicadas de segurança OT para equipas de segurança de TI e pessoal operacional.