A velocidade com que os malwares e as técnicas de ataque evoluem, juntamente com o aumento das tensões geopolíticas globais, alterou o panorama do setor público e privado na proteção de infraestruturas críticas.
Historicamente, os sistemas de TI e OT/ICS foram completamente isolados um do outro, mas à medida que a transformação digital continua, esses dois mundos estão se juntando rapidamente.
Como resultado, os cibercriminosos estão usando malware para se infiltrar especificamente nas redes OT para atacar alvos que não podem arcar com o tempo de inatividade (downtime) como vemos com tanta frequência quando ransomwares atingem os sistemas de TI dos negócios.
D
Os ataques crescentes aos ambientes ICS colocam em risco a segurança da população que depende de infraestruturas críticas para atender às suas necessidades básicas. Vimos isso acontecer com ataques iranianos contra a infraestrutura petrolífera saudita e com ataques russos visando concessionárias de energia elétrica ucranianas utilizando malwares como Triton, SandWorm, BlackEnergy e Industroyer.
Entendendo as vulnerabilidades
Para entender melhor como malwares com foco em ambientes OT funcionam, é importante entender onde residem as vulnerabilidades e como elas são exploradas. Na maioria dos casos, estão dentro dos controladores do Windows que fazem interface com esses sistemas e as instruções são direcionadas aos sistemas operacionais, que incluem:
Dispositivos: Clientes de interfaces homem-máquina (IHMs), historiadores de dados, servidores SCADA e estações de trabalho de engenharia (EWS).
Plataformas (Softwares ICS): GE Proficy, Honeywell HMIWeb e etc.
Redes: Acesso direto à Internet a um ambiente ICS por meio da exposição de protocolos operacionais como Siemens S7, Omron FINS e EtherNet/IP, além de acesso VNC mal configurado. Isso pode levar ao movimento lateral via SMB.
Por que proteger apenas a infraestrutura de TI não é o suficiente?
Cibercriminosos patrocinados por estados e países adoram malwares ICS, pois se alinham com seus objetivos políticos de minar infraestruturas críticas através de ataques amplos e profundos em ambientes industriais. Esses atores também são os que possuem os recursos necessários para executar com sucesso ataques a ambientes ICS, pois geralmente precisam de mais sofisticação e planejamento do que um ataque de ransomware que pode ser executado usando componentes e serviços “prontos para uso”.
Entendendo as metodologias de ataque
A melhor maneira de entender os malwares por trás desses ataques e ajudar as organizações de infraestrutura crítica a evitá-los é mapeando todos os comportamentos utilizando o MITRE ATT&CK e YARA Framework:
MITRE ATT&CK para ICS: Semelhante à estrutura amplamente adotada MITRE ATT&CK para TI, esse framework modela comportamentos para ataques usando malwares direcionados a sistemas de controle industrial. Ao incorporar o mapeamento de comportamento à estrutura MITRE ATT&CK ICS, ferramentas como o OPSWAT Sandbox podem ajudar os defensores a identificar rapidamente como o malware está tentando atacar seus sistemas e a responder com mais eficácia.
Como exemplo disso, analisamos a BlackEnergy no sandbox e vimos o mapeamento de comportamentos específicos do ICS para o framework:
YARA para proteção e detecção de ameaças: Ao incorporar conjuntos de regras Yara ICS e ferramentas de análise, como o OPSWAT Sandbox, é possível identificar com mais eficiência malwares (estáticos e dinâmicos) que correspondem a atributos maliciosos conhecidos para ICS. Embora os próprios arquivos de malware sejam frequentemente modificados por hackers para evitar a detecção, os invasores precisam aproveitar as ferramentas, as táticas e os procedimentos (TTPs - Tools, Tactics and Procedures) existentes para serem eficazes. A infraestrutura do invasor é cara e eles precisam reutilizá-la e, portanto, as ferramentas, as táticas e os procedimentos (TTPs) se repetem em diferentes variantes de malware, permitindo a identificação de famílias de malware e ajudando na atribuição.
O mais recente MITRE ATT&CK para ICS oferece a estrutura TTP específica para ataques direcionados a tecnologias operacionais (OT), como funções de resposta de inibição.
A detecção de malwares particularmente evasivos em infraestruturas críticas requer recursos de análise que devem incluir análise estática e dinâmica abrangente, com a capacidade de sinalizar TTPs específicos para ataques ICS, conforme mostrado na análise do malware BlackEnergy abaixo:
O recente lançamento do OPSWAT Sandbox v1.1.7 inclui Mapeamento de IOCs para ICS TTPs e, com regras YARA disponíveis e um repositório MISP nativo do OPSWAT MetaDefender Core, as organizações podem se proteger melhor contra ameaças de malware por meio de uma solução abrangente de inteligência de ameaças.
Fonte: OPSWAT
Conte com a International IT e a OPSWAT para ajudá-lo a proteger seus ambientes complexos. Solicite uma demonstração!
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
