Operação de Oleoduto dos EUA Interrompida por Ataque de Ransomware

Um ataque de ransomware atingiu recentemente uma instalação de compressão de gás natural dentro do território dos EUA, de acordo com as autoridades. O ataque resultou em um desligamento que durou dois dias, pois a instalação que foi vítima do ataque trabalhou duro para colocar o sistema novamente online usando backups.

Os autores da ameaça conseguiram entrar na seção de TI da rede e, em seguida, partir para infiltrar-se nas funções de comunicação e controle dentro da instalação. A Agência de Segurança Cibernética e Infraestrutura (CISA) divulgou alerta que divulgou mais informações sobre o assunto. Parece que os invasores tiveram sucesso em spearphishing um funcionário e, portanto, conseguiram por os seus pés na porta.

O comprometimento da rede passou para o que a CISA descreveu como um 'ransomware de mercadoria' que criptografou dados nas redes de TI e OT também. A agência também compartilhou que isso aconteceu porque as partes da infraestrutura de TI e OT da rede não eram separadas.

Dragos, uma empresa de segurança, mencionou que, apesar das informações limitadas e detalhes técnicos divulgados pela instalação, ataques anteriores usando ransomware mostram um padrão de repetição. Uma postagem do blog Dragos menciona que "As tendências atuais em ransomware aproveitam o acesso inicial aos ambientes da vítima para capturar credenciais ou comprometer o Windows Active Directory (AD) para obter acesso amplo a toda a rede da vítima. Uma vez alcançado, o invasor pode utilizar scripts maliciosos e legítimas ferramentas de execução remota como PSExec para preparar ransomware ou até mesmo enviar software malicioso por meio de objetos de política de grupo AD. O resultado é que todas as máquinas Windows integradas ao domínio são infectadas quase simultaneamente para produzir um evento de criptografia de rede inteira. Essa estratégia foi usada para implantar vários tipos de ransomware, incluindo o Ryuk, o MegaCortex e o Sodinokibi."

A CISA mencionou que os invasores felizmente nunca conseguiram obter o controle sobre a parte física das operações da planta. O ataque não conseguiu impactar os controladores lógicos programáveis responsáveis pela leitura e manipulação de processos em ambientes industriais, uma vez que os atacantes se limitaram a sistemas baseados em Windows. O ataque resultou em uma perda parcial de visão para os operadores humanos da instalação, de acordo com a agência. Como consequência do incidente, outras instalações de compressão tiveram que interromper suas operações devido ao que a CISA chama de 'dependências de transmissão do oleoduto', resultando na paralisação completa do oleoduto durante um período de dois dias.

Dragos encontrou semelhanças entre este evento e outro diferente em dezembro de 2019, relatado pela Guarda Costeira dos EUA. Os dois eventos tiveram uma sobreposição na forma como os ataques se desenvolveram:

• Infecção inicial por meio de uma mensagem de e-mail emparelhada com um link malicioso.
• Operações primárias sendo afetadas pela perda de visão dos sistemas baseados no Windows responsáveis pelas operações relacionadas ao ICS.
• Um período de interrupção relativamente pequeno, com o relatório da CISA mostrando dois dias de inatividade e o relatório da Guarda Costeira dos EUA de um período de interrupção de 30 horas.

A instalação admitiu que os planos de recuperação de desastres que eles tinham estavam focados apenas em cenários de emergência de uma variedade física, mas nenhum ataque cibernético como parte do treinamento de resposta. A CISA observou que os exercícios de resposta a emergências não conseguiram treinar os funcionários para que tivessem experiência na tomada de decisões ao lidar com ataques cibernéticos. A lacuna no conhecimento de segurança e a ampla gama de cenários possíveis foram um motivo para a falha na incorporação do treinamento em segurança cibernética no planejamento de resposta a emergências.

O Possível Envolvimento do Malware Ryuk

A CISA não revelou as instalações da vítima, nem o ransomware usado no processo, nem quando o ataque aconteceu. Os pesquisadores de segurança que trabalham na Dragos acreditam que o ataque aconteceu durante dezembro de 2019 e que envolveu o malware Ryuk. Dragos mencionou que, com base nas informações compartilhadas com eles, o alerta da CISA provavelmente descreve o mesmo evento com a Guarda Costeira dos EUA em 2019.

Dragos também acredita que o ataque não tinha como objetivo específico afetar os sistemas de controle industrial, já que era baseado no Windows. Um incidente semelhante em novembro de 2019 afetou a sPower, uma empresa de energia solar e eólica com sede em Utah. Os invasores foram capazes de interromper as comunicações entre o centro de controle principal e os sites remotos de geração de energia, utilizando uma vulnerabilidade nos firewalls Cisco, mostrando uma tendência contínua com os agentes de ameaças visando instalações de energia ao longo dos últimos anos.