Cadeia de suprimentos de alimentos é o mais recente alvo de ransomware

A NEW Cooperative, uma cooperativa de agricultores com 60 unidades em Iowa, encerrou suas operações após um ataque de ransomware no fim de semana. A organização disse que, de forma proativa, colocou os sistemas off-line para conter o ataque, seguindo uma estratégia semelhante empregada pela Colonial Pipeline e pela JBS Foods após ataques de ransomware perturbadores no início deste ano.

O BlackMatter está supostamente por trás do ataque, de acordo com pesquisadores e um relatório do site de notícias Bleeping Computer. O BlackMatter é uma ramificação do DarkSide, uma operação de ransomware como serviço de língua russa responsável pelo ataque ao Colonial Pipeline. O BlackMatter supostamente exigiu um resgate de US$ 5,9 milhões que dobrará se não for pago dentro de cinco dias, disse o Bleeping Computer. O BlackMatter também supostamente roubou 1.000 GB de dados da NEW Cooperative e ameaça vazá-los também.

No início deste mês, o FBI publicou uma Notificação do Setor Privado (PIN) alertando sobre um aumento no número de ataques de ransomware direcionados ao setor de infraestrutura crítica de alimentos e agricultura, e que ataques disruptivos poderiam afetar a cadeia de suprimento de alimentos.

Em uma sessão de bate-papo obtida pelo DarkFeed, um feed do Twitter de inteligência da deep web, a NEW Cooperative discute com os atacantes sobre a possível interrupção das cadeias de suprimentos de grãos, suínos e frangos; o site da BlackMatter afirma que seu serviço de ransomware não tem como alvo a infraestrutura essencial. Enquanto isso, o governo Biden, no início deste ano, alertou o presidente russo, Vladimir Putin, sobre os ataques de ransomware contra a infraestrutura essencial dos EUA e prometeu responder caso eles continuassem.

Fonte: DarkFeed Twitter

A NOVA Cooperativa, por sua vez, disse em seu bate-papo com a BlackMatter que 40% da produção de grãos é executada em seu software e que as programações de alimentação de 11 milhões de animais dependem da cooperativa. "Isso quebrará a cadeia de suprimentos muito em breve", disse o negociador da NEW Cooperative no chat. A BlackMatter rebateu dizendo que a NEW Cooperative não é uma infraestrutura crítica. "Se você não seguir as regras, todos só terão prejuízos", disseram. "Tudo está ligado ao comércio, os críticos significam as necessidades vitais de uma pessoa, e você ganha dinheiro."

Alguns serviços de ransomware não apenas criptografam os dados e exigem um resgate em troca de um descriptografador. Em vez disso, eles acrescentaram táticas e técnicas como exfiltração de dados e ameaças de extorsão para vazar os dados roubados se as exigências não forem atendidas. As empresas que provavelmente pagarão grandes resgates também são alvos preferenciais.

Anteriormente, a DarkSide - e agora a BlackMatter - fazia afirmações semelhantes sobre não ter como alvo a infraestrutura essencial, mas as operações criminosas são motivadas pelo lucro e não são confiáveis. A infraestrutura essencial é um alvo lucrativo, e qualquer participante central em uma cadeia de suprimentos essencial deve reforçar suas defesas ou enfrentar não apenas a perda de produtividade e o impacto financeiro, mas também custos extensos de remediação.

Para se proteger, qualquer empresa envolvida na cadeia de suprimento de alimentos deve garantir que tenha visibilidade total de todos os seus sistemas e processos e monitorar continuamente todas as ameaças que possam resultar de um ataque direcionado ou oportunista. Um inventário preciso de ativos é o primeiro passo para o gerenciamento adequado de vulnerabilidades, a fim de garantir que os sistemas críticos estejam com os níveis atuais de aplicação de patches e que os controles de compensação estejam em vigor quando apropriado.

A segmentação da rede também é uma estratégia essencial para impedir o movimento lateral da rede dos invasores. A maioria das redes de tecnologia operacional (OT) não tem mais air-gap, e a segmentação da rede compensa esse fato impedindo que os invasores usem credenciais roubadas ou comprometam o Active Directory e outras infraestruturas de identidade para passar de um sistema para outro, roubando dados e/ou lançando malware ou exploits.

Estrategicamente, as organizações devem testar regularmente os planos de resposta a incidentes e realizar exercícios de mesa para colocar esses planos em ação sem afetar os ambientes de produção. O treinamento e os testes melhoram a resposta e garantem a continuidade dos negócios.