O dia 27 de junho de 2023 marca o sexto aniversário do ataque do ransomware NotPetya, ainda amplamente considerado como o ataque cibernético mais caro e destrutivo da história. Ocorrido pouco mais de um mês após o ataque de ransomware WannaCry, igualmente infame, o ataque NotPetya paralisou as operações de empresas multinacionais em uma ampla faixa de setores de infraestrutura crítica, incluindo saúde, energia e transporte, resultando em danos estimados em US$ 10 bilhões. Seis anos depois, o Departamento de Estado dos EUA ainda está tentando levar os agentes da ameaça à justiça, oferecendo uma recompensa de até US$ 10 milhões por informações sobre os agentes por trás do ataque.
Seis anos depois, fica claro que o NotPetya teve uma profunda influência no comportamento dos agentes de ameaças cibernéticas e dos profissionais de segurança cibernética. Destacando as vulnerabilidades dos sistemas de tecnologia operacional (TO) e aumentando as preocupações com relação às possíveis consequências de ataques cibernéticos em infraestruturas críticas. Era apenas uma questão de tempo para os criminosos cibernéticos perceberem que as redes de TO são essenciais para as operações, incluindo o controle da geração de energia elétrica, o gerenciamento de redes de transporte, o tratamento e a distribuição de água, a garantia da produção e do processamento seguros de produtos químicos e muito mais, o que as torna extremamente valiosas para garantir a segurança e a proteção das operações industriais.
Após o ataque do NotPetya, os adversários se tornaram cada vez mais direcionados em suas estratégias de ransomware, mudando de ataques cibernéticos oportunistas e de pulverização para campanhas mais deliberadas contra empresas específicas com baixa tolerância ao tempo de inatividade da operação e maior disposição e capacidade de atender aos pedidos de resgate. Ao mesmo tempo, as mudanças que os profissionais de segurança de TI e TO enfrentaram nos últimos anos, incluindo o impacto da transformação digital e a adoção do trabalho remoto, foram sem precedentes e tiveram um impacto dramático na infraestrutura essencial.
O mundo mudou radicalmente
A partir de março de 2020, as organizações tiveram que se adaptar rapidamente, pois uma força de trabalho remota e híbrida se tornou o novo normal. Aquelas que conseguiram lidar com um novo modelo distribuído mais rapidamente tiveram sucesso na continuidade das operações e obtiveram vantagem competitiva. No entanto, a aceleração da transformação digital e do trabalho remoto também criou mais oportunidades para os agentes de ameaças, e vimos um aumento sem precedentes nos ataques de ransomware em redes de TO. Em nossa pesquisa global com 1.100 profissionais de segurança de TI e TO, 47% dos entrevistados tiveram seu ambiente de TO/sistemas de controle industrial (ICS) afetado por um ataque de ransomware no último ano. Os ataques contra hospitais, oleodutos, cadeias de suprimento de alimentos e outras infraestruturas essenciais evidenciaram as vulnerabilidades dos sistemas ciberfísicos (CPS) e o grave impacto que as interrupções podem ter sobre vidas e meios de subsistência. De fato, o relatório do Internet Crime Compliant Center (IC3) do FBI constatou que, em 2022, eles receberam 2.385 reclamações identificadas como ransomware, com perdas ajustadas de mais de US$ 34,3 milhões.
Para agravar a questão, as redes de infraestrutura essencial estão agora na mira de um conflito geopolítico. Em 20 de abril de 2022, as agências de segurança que compõem a aliança de inteligência Five Eyes de países como EUA, Austrália, Canadá, Nova Zelândia e Reino Unido divulgaram um Conselho Conjunto de Segurança Cibernética (CSA) alertando sobre ameaças iminentes e graves à infraestrutura essencial em países que sancionaram a Rússia ou apoiaram a Ucrânia. Os grupos de crimes cibernéticos se alinharam com a Rússia, comprometendo-se a apoiar os esforços do país para realizar uma guerra cibernética direcionada. Embora as táticas de ransomware tenham se afastado de ataques como NotPetya, WannaCry e outros ransomwares que se autopropagam, os profissionais de segurança devem permanecer vigilantes quando se trata de proteção contra outro ataque generalizado de ransomware desse tipo. Com toda a probabilidade, é inevitável que vejamos ocorrências semelhantes no futuro, mas somente sob as condições certas.
O gerenciamento de vulnerabilidades de OT e a segmentação de rede são mais cruciais do que nunca
O impacto de longo alcance do NotPetya não teria sido possível se a vulnerabilidade de exploração "wormable" EternalBlue, desenvolvida pela NSA, não tivesse vazado dois meses antes, em abril de 2017. Embora seja impossível prever se e quando uma vulnerabilidade onipresente semelhante será explorada por criminosos cibernéticos, as equipes de segurança podem abordar proativamente dois fatores principais que permitiram que o NotPetya infectasse um número tão grande de ambientes de TO:
Gerenciamento de vulnerabilidades deficiente:
Como a correção para o EternalBlue foi emitida em 14 de abril de 2017, mais de dois meses antes do NotPetya, toda a provação poderia ter sido evitada se todas as organizações tivessem aplicado a correção. A correção de vulnerabilidades antes que os adversários tenham a chance de explorá-las em escala é essencial para evitar ataques semelhantes ao NotPetya no futuro, mas a administração de patches de segurança pode ser disruptiva e cara, especialmente em ambientes de TO. Para gerenciar e corrigir as vulnerabilidades que mais importam, as equipes de segurança devem ter a visibilidade necessária para identificar quais falhas de segurança estão presentes nos ativos de TO, bem como a capacidade de avaliar com precisão o nível de risco representado por cada vulnerabilidade. Em seguida, elas podem priorizar a aplicação de patches nas vulnerabilidades exploradas conhecidas, conforme sugerido pela CSA conjunta. Nos casos em que a aplicação de patches não é possível ou prática, como nos sistemas legados, é fundamental identificar e implementar controles de compensação, como regras de firewall e listas de controle de acesso. Compreender o nível de exposição ajudará a determinar onde concentrar os recursos e o orçamento, priorizando os ativos mais importantes para proteção.
Segmentação de rede deficiente:
Um fator importante por trás do ataque NotPetya que se espalhou como fogo em uma infinidade de ambientes de TI e TO das organizações foi a falta de segmentação. A aplicação de políticas de segmentação de TI/OT reduzirá o risco de um ataque na rede de TI se espalhar para a rede de TO. Além disso, a segmentação virtual dentro do ambiente de TO é uma maneira econômica e eficiente de estabelecer uma linha de base para o comportamento "normal" da rede e ser alertado sobre qualquer movimento lateral, à medida que os agentes mal-intencionados tentam estabelecer uma presença, pular zonas e se mover pelo ambiente. E, se as operações remotas precisarem de acesso direto às redes de TO, a segmentação virtual garante que isso seja feito por meio de uma conexão segura de acesso remoto com controles rígidos sobre usuários, dispositivos e sessões.
A proteção para CPS se tornou uma prioridade maior para as organizações
O ataque NotPetya não teve como alvo específico os ambientes industriais. No entanto, devido à sua capacidade de autopropagação e ao uso de uma vulnerabilidade de SMB presente em muitos ambientes de TO, ele causou uma devastação generalizada nas organizações de infraestrutura crítica. O ataque foi um alerta para muitos CISOs e um aviso de um novo paradigma, em que a sobreposição entre as ameaças à segurança de TI e TO é mais amplamente reconhecida e priorizada no mundo hiperconectado de hoje. Cada vez mais, os CPS e as redes em que operam se tornaram alvos atraentes para adversários e criminosos de estados-nação. Como já foi dito ao longo deste blog, essas redes são essenciais para as operações e, muitas vezes, para a saúde e a segurança humana. Felizmente, os líderes de segurança podem acelerar a velocidade com que obtêm visibilidade e controle sobre seus ativos e se preparam proativamente para os cenários mais prováveis, impedindo incidentes como o ataque NotPetya.
