Um relatório recente da Kaspersky revelou detalhes sobre ciberataques direcionados à indústria, destacando o modus operandi de grupos especializados nesse setor, especialmente afetando a manufatura, sistemas de controle industrial e integração. Isso enfatiza a necessidade urgente de reforçar a cibersegurança.
Durante a investigação, a Kaspersky identificou ataques com o propósito de estabelecer canais permanentes para a exfiltração de dados, com semelhanças notáveis com ataques conhecidos como ExCone e DexCone, sugerindo envolvimento do APT31, também chamado de Judgment Panda e Zirconium.
A análise também mostrou o uso de recursos avançados para acesso remoto, demonstrando a proficiência dos grupos em contornar medidas de segurança, permitindo vazamentos de dados contínuos, mesmo em sistemas altamente seguros. Observou-se novamente o uso de técnicas de sequestro de DLL para evitar detecção precoce do ataque.
Serviços de armazenamento de dados na nuvem, como Dropbox e Yandex Disk, bem como plataformas de compartilhamento temporário de arquivos, foram usados para vazar dados e entregar malware em seguida. Também foi implantada uma infraestrutura de comando e controle (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controle das redes comprometidas.
Nesses ataques, foram implementadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, essa família de malware evoluiu, com novas variantes surgindo em 2022, para atingir especificamente a infraestrutura de organizações industriais.
Além disso, foi descoberto durante a investigação um novo implante de malware, chamado de MeatBall. Esse implante backdoor tem amplas capacidades de acesso remoto.
Continua depois da publicidade |
"Não podemos subestimar os riscos significativos que os ataques direcionados representam para a indústria. À medida que as organizações continuam digitalizando suas operações e dependem de sistemas interconectados, é impossível negar as possíveis consequências de ataques bem-sucedidos à infraestrutura crítica. Essa análise enfatiza a importância fundamental da implementação de medidas resilientes de cibersegurança para proteger a infraestrutura industrial contra ameaças existentes e futuras", comenta Kirill Kruglov, pesquisador sênior de segurança da ICS CERT da Kaspersky.
Para manter seus computadores da TO protegidos de diversas ameaças, os especialistas da Kaspersky recomendam:
- Realize avaliações de segurança de sistemas da TO regularmente para identificar e eliminar possíveis problemas de cibersegurança.
- Estabeleça a triagem e avaliação contínuas de vulnerabilidades como base para um processo eficaz de gerenciamento de vulnerabilidades. Soluções dedicadas podem se tornar um assistente eficiente e uma fonte de informações práticas exclusivas, não totalmente disponíveis para o público.
- Faça as atualizações dos principais componentes da rede de TO da empresa rapidamente; aplicar correções e patches de segurança ou implementar medidas de compensação assim que for tecnicamente possível é essencial para evitar grandes incidentes que podem custar milhões devido à interrupção do processo de produção.
- Use soluções de EDR como o Kaspersky Endpoint Detection and Response para detectar rapidamente ameaças sofisticadas, investigar e corrigir incidentes efetivamente.
- Melhore a resposta a técnicas maliciosas novas e avançadas, criando e fortalecendo as habilidades de prevenção, detecção e resposta a incidentes de suas equipes. Uma das principais medidas para se conseguir isso é a realização de treinamentos dedicados de segurança da TO para equipes de segurança de TI e pessoal de TO.
*Imagem de capa: Depositphotos
Gostou? Então compartilhe:
