Ameaças modernas à infraestrutura e redes industriais
1. AMEAÇAS MODERNAS E ATAQUES ÀS
REDES DE T.O. - O CENÁRIO ATUAL
NO BRASIL.
Marcelo Branquinho
CEO e Fundador da TI Safe
2. Conteúdo da apresentação
A palestra apresentará um panorama global das principais ameaças e ataques
cibernéticos a redes industriais na atualidade, além de focar no cenário atual
brasileiro baseado nos resultados da 4ª pesquisa TI Safe.
Escopo da palestra:
• Fatores de risco: ataques poderosos e o mundo em colapso
• Ameaças reais: a profissionalização do cibercrime
• Incident Hub: timelines e impactos de ataques
• 4ª Pesquisa TI Safe: Panorama da Cibersegurança industrial no Brasil
• Previsão: o que vem por aí?
4. Todos nós lembramos de algum momento de nossas vidas,
quando as coisas pararam de funcionar:
o Quando houve um grande blecaute.
o Quando ficamos sem água.
o Quando houve uma grande paralisação nos trens.
o Quando uma barragem se rompeu.
Onde você estava …?
QUANDO AS COISAS PARAM DE FUNCIONAR...
5. Lembram disso? Por causa de apenas uma subestação, um estado
inteiro ficou sem energia por 22 dias...
6. E disso? Por muito pouco uma cidade inteira teve a água envenenada.
7. Para complicar, o mundo acaba de sair (será?) de uma pandemia que
deixou sequelas na segurança cibernética das empresas..
Hackers
• Aplicações falsas
• Novos domínios web
• Phishing
• Roubo de informações
• Aumento de Ransomware
Pessoas e empresas
• Nova realidade
• Trabalho remoto
• Busca por informação
• Instabilidade e
desconfiança
10. INFRAESTRUTURAS CRÍTICAS SÃO INTERLIGADAS
A perda,
interrupção
significativa ou
degradação desses
serviços pode ter
graves
consequências
sociais ou
comprometer a
segurança nacional
12. Os anos passaram e as ameaças se profissionalizaram
Data Data
Internet
Encryption Targeted
OBJETIVO: Lucratividade, Sabotagem
e conflitos entre nações
• Organizados
• Ataques direcionados - Ransomware
• Financiado – Industria foco crescente
OBJETIVO: Notoriedade
• Uma pessoa, grupos pequenos
• Conhecimento e Recursos
limitados
• Ataques básicos
Internet
?
Passado:
Hackers
isolados
Presente:
Grupos
Hackers
altamente
capacitados
15. ATINGIR O
ALVO
CONQUISTAR
O OBJETIVO
OPERAÇÕES
NO
ENDPOINT
ATACAR O
PERÍMETRO
ENTREGAR O
MALWARE
Internet
Controlador
de domínio
TI TO
WAN
SCADA
Subestação
Centro de Controle
Rede Corporativa
Servidor
Spearphishing
(Black Energy 0-
day)
Roubo de credenciais dos
usuários
Pivot para SCADA
(usando credenciais roubadas) Abertura de chaves elétricas
(protocolos industriais)
IED / RTU
Corrompida a
IHM (malware
conhecido)
Corrompido o
Firmware
(protocolos
industriais)
Anatomia do ataque “Black Energy”
16. Ransomware as a Service (RaaS)
• O RaaS é um modelo de comercialização que tem
contribuído para a explosão de ataques por ransomware.
• O esquema funciona da seguinte maneira: o hacker cria um
ransomware e o “revende” na dark web para pessoas
interessadas em utilizá-lo, normalmente cobrando uma taxa
mensal ou recebendo uma parte do lucro obtido com os
golpes.
• No geral, os criadores do ransomware ficam com 20% a
50% do lucro obtido com o esquema.
• O comprador não precisa configurar nada. Ele paga por um
pacote completo e pode até receber orientações de como
obter mais sucesso ao utilizar o ransomware.
• O maior problema do RaaS é que ela facilita o acesso à
tecnologia de alto conhecimento técnico.
• Na prática, qualquer pessoa sem nenhum conhecimento
técnico pode ter um ransomware super avançado à sua
disposição.
17. Disseminador de
malware
Como funciona o Ransomware as a Service?
Às vezes o resgate dos dados é pago e a
vítima não recebe a chave de decriptação.
1
O desenvolvedor de malware cria um
site malicioso na rede TOR para
espalhar o ransomware.
Rede TOR
2 Disseminador de malwares realiza o
download de ransomware do TOR.
Desenvolvedor de
malware
3 Ransomware é
disseminado na web.
4 Máquinas das vítimas
são infectadas.
Dados são
criptografados!
Vítimas
Vítimas
Vítimas
5
Vítimas pagam resgate em um site TOR
especificado pelo atacante utilizando
criptomoeda.
6 Uma porcentagem do resgate é paga ao
desenvolvedor do malware.
21. Ataques à T.I. de infraestruturas críticas brasileiras explodiram durante
a pandemia
11/19 04/20 05/20 06/20 11/20 01/21 02/21 05/21 12/21
Energisa
O Grupo Energisa
restringe ataque
hacker. O
fornecimento de
energia não foi
afetado, mas o sistema
de contingência teve
de ser acionado. Os
sistemas retornaram
progressivamente à
normalidade.
Porto de Mucuripe
Ataque hacker em porto
de Fortaleza gera lentidão
ao afetar os processos no
terminal portuário.
Operação teve que ser
realizada de forma
manual, o que gerou
lentidão e fila de
embarcações aguardando
recebimento de carga.
Raizen
A Raizen que atua na
distribuição de
combustíveis, enfrenta
ataques hackers. A
invasão interrompeu o
funcionamento de
sistemas operacionais.
SERASA Experian
Cerca de 223 milhões de
CPFs de brasileiros foram
disponibilizados na web.
Hacker vendia
informações relacionadas
a essas pessoas, incluindo
endereço, telefone, e-mail,
score de crédito, salário,
renda etc.
Eletronuclear
Empresa comunica que
servidores da área
administrativa da
Eletronuclear foram alvo de
ataques ransomware e que
suspendeu
temporariamente o
funcionamento de alguns
dos seus sistemas
administrativos para
proteger a integridade dos
seus dados.
EDP
Elétrica portuguesa EDP foi
alvo de um ataque hacker,
penetrando num servidor
interno da empresa e
solicitando dez milhões de
euros de resgate. Conseguindo
obter 10 terabytes de
informação sensível e
ameaçando torná-la pública ou
vendê-la a concorrentes diretos
da empresa.
Light
Companhia elétrica Light,
que fornece energia a 31
municípios do Rio de
Janeiro, sofre ataque hacker.
Todos os arquivos do sistema
foram criptografados e
atacantes pediram um
resgate de sete milhões de
dólares que seriam pagos
em criptomoedas em um
prazo de dois dias.
ENEL
Dados de 4,3 milhões de
clientes da Enel em São
Paulo vazam na dark web. O
grupo hacker responsável
pelo ataque consegue
subtrair 4,17 GB de
informações dos servidores
da distribuidora de
eletricidade passível de
utilização por estelionatários
digitais.
Copel
A estatal paranaense de
energia elétrica Copel foi alvo
de ataques cibernéticos. Os
sistemas de operação e
proteção detectaram os
ataques e a companhia seguiu
os protocolos de segurança,
inclusive com a suspensão do
funcionamento de seu
ambiente informatizado para
proteger a integridade das
informações.
Ministério da Saúde
Ataque hacker
compromete os
sistemas do e-SUS
Notifica, SI-PNI,
ConecteSUS e a
emissão da Carteira
de Vacinação.
Dados dos sistemas
foram copiados e
excluídos.
STF
O endereço eletrônico
do Supremo Tribunal
Federal (STF) sofreu um
ataque hacker e foi
retirado do ar. A página
precisou ser retirada do
ar pelo serviço de
tecnologia da Corte
para evitar o risco de
acesso indevido a
informações sigilosas.
22. ATAQUE À REDE CORPORATIVA (T.I.)
• Perda de serviços básicos de sistemas internos
• Perda de bases de dados necessárias para o faturamento
• Danos à imagem da empresa
• Comunicação à CVM, o que impacta as ações na bolsa
• Prejuízos imediatos com empresas terceiras para a recuperação
do ambiente operativo
ATAQUE À REDE OPERATIVA (T.O.)
• Afeta diretamente com o core business da Empresa
• Afeta diretamente o fornecimento para a POPULAÇÃO
• Recuperação do ambiente de automação é MUITO MAIS
COMPLEXA que a recuperação do ambiente de T.I.
• Prejuízo imediato inestimável e possível intervenção do
Governo Federal.
• Queda no valor das ações e liquidez da empresa
Ataques na T.I. x Ataques na T.O.
23. Ataques à T.O. de infraestruturas críticas em outros países já são
frequentes – Ainda não temos nenhum grande caso no Brasil
2010 2011 2012 2012 2014 2014 2014 2015 2017 2018 2020 2021 2021
Stuxnet
O primeiro caso
notável de uma
arma digital
sofisticada lançada
contra sistemas de
controle no Irã.
Flame
Definido como um
malware sofisticado
e muito complexo.
Capaz de se espalhar
para outros sistemas
através de conexões
LAN ou USB. Pode
gravar áudio,
capturas de tela,
atividade de teclado
e tráfego de rede.
Energetic Bear
Um malware
poderoso que
permitia aos seus
operadores
monitorar o
consumo de energia
em tempo real ou
prejudicar os
sistemas físicos.
Dragonfly
As evidências indicam
que as empresas
farmacêuticas são o
principal alvo. O malware
contém um Industrial
Protocol Scanner usado
para localizar dispositivos
normalmente instalados
em embalagens de bens
de consumo.
Crash Override/Industroyer
Malware mais avançado do
que as ferramentas de uso
geral usadas para atacar a
rede elétrica da Ucrânia em
2015. Capacidade de usar os
mesmos protocolos nos
quais os sistemas de rede
elétrica individuais
dependem para se
comunicar uns com os
outros.
Solarwinds Supply
Chain
Software de
monitoramento de
rede da SolarWinds
utilizado em
diferentes
indústrias,
comprometido por
ataque de hackers.
Colonial Pipeline
Criminosos do grupo Darkside, de
origem do Leste Europeu, executam
ataque de ransomware sequestrando
computadores de oleoduto
responsável por abastecer 45% do
mercado de produtos refinados nos
EUA gerando colapso de fornecimento
de gasolina e diesel e aumentando
tarifas. Grupo recebe 5 milhões de
dolares de resgate para liberar os
computadores.
Duqu
Coleção de malware de
computador que se
acredita estar
relacionado ao Stuxnet.
Usado para procurar
informações que podem
ser úteis para diferentes
ataques.
Shamoon
Como Stuxnet, Duqu e
Flame, Shamoon é voltado
para empresas de energia.
Ele não interrompeu
serviços como o Stuxnet ou
roubou informações de
negócios como Flame e
Duqu. Em vez disso, ele
removeu e substituiu as
informações do disco rígido.
German Steel Mill Attack
Acesso não autorizado
causa sabotagem em alto
forno industrial. Segundo
caso confirmado em que
um ataque cibernético
digital causou a destruição
física de equipamentos.
BlackEnergy
O malware BlackEnergy
provoca apagão na
infraestrutura de
distribuição de energia
elétrica na Ucrânia
interrompendo
fornecimento de energia.
Foi o primeiro ataque
cibernético bem sucedido
em uma rede elétrica.
Triton/Trisys
O malware é direcionado
aos controladores do
sistema de instrumentos de
segurança Triconex
fabricados pela Schneider e
substitui a lógica de
controladores, uma ação
que pode resultar em
gravíssimas consequências
físicas.
City of Oldmar
Hacking
Hacker acessou
sistema de
tratamento de água
da Cidade de
Oldsmar tentando
aumentar nível de
hidróxido de sódio
(soda cáustica).
Evento foi percebido
pelo operador.
24. 4ª Pesquisa TI Safe
Panorama da Cibersegurança Industrial no Brasil
25. Metodologia
Equipe Operacional
As perguntas foram agrupadas de acordo com os pilares de contramedidas de segurança cibernética da
metodologia TI Safe ICS.SecurityFramework:
Governança e Monitoramento: 5 perguntas.
Segurança de borda: 1 pergunta.
Proteção de rede Industrial: 2 perguntas.
Controle de Malware: 1 pergunta.
Segurança de dados: 2 perguntas.
Treinamento e conscientização: 2 perguntas.
28. Comparativo de resultados 2018 x 2022
Melhoria geral na maturidade de segurança das empresas
28
Resultado consolidado Resultado por domínio do ICS.SecurityFramework
30. Na CLASS 2016 em São Paulo eu já alertava sobre a ameaça do
Ransomware em ICS
31. E escrevi um trabalho técnico alertando para este risco
Trecho do trabalho: “Tudo indica que
estes ataques globais foram apenas o
começo de algo muito pior que vem por
aí.
O sucesso dos primeiros ataques
certamente incentivará grupos hackers
de todo o mundo a desenvolver
Ransomware cada vez mais poderosos e
focados na paralisação de serviços
essenciais em redes de infraestruturas
críticas.”
32. Agora, em 2022, faço a seguinte previsão:
Fatos
• A análise dos ataques por Ransomware
contra a T.I. das empresas de Energia
Brasileiras a partir de 2019 mostra
claramente uma evolução tecnológica
nos artefatos utilizados pelos atacantes.
• A tendência é que cada novo ataque por
Ransomware seja mais poderoso que o
anterior, e que utilize de vulnerabilidades
ainda sem contramedidas conhecidas
(zero day).
• Além disso o uso de RaaS está
crescendo exponencialmente.
Minha Previsão
• Grupos organizados internacionais passarão a atuar no
Brasil.
• Os ataques que até então afetaram a T.I. das
empresas, afetarão também as redes operativas (T.O.).
• Redes industriais de infraestruturas críticas serão
devastadas por ataques cibernéticos direcionados
(incluindo Ransomware, mas não só ele), ocasionando
prejuízos gigantes e até mesmo o encerramento de
suas operações.
Lembretes:
1. Empresas estatais não tem como licitar resgates!
2. Empresas devem investir na PREVENÇÃO de incidentes.
Responder a incidentes em T.O. sempre será tarde
demais.
We we very aware that cyber threats have changed and matured over time. Not just the attacker, but the ways in which they’re delivered, who they target, and how.
In the past, attacks spawned from kids fooling around, hacking for notoriety or just because they could. They had limited resources and knowledge, their attacks were fairly basic, and once they got into a network, they really didn’t know what to do.
Today, attackers are no longer kids fooling around, they see the dollar value in your data and they want it. They’re organized and well-funded, just like any profitable business. They hone in on victims that will make them the most money, and they research the best ways to target them. They’re interested in long-term profits, so they’re focused on advanced attack methods and remaining undetectable, which require a large amount of patience — low and slow attacks that are difficult to detect, let alone prevent.
Reportagem disponível em http://oglobo.globo.com/economia/mat/2009/11/11/fontes-da-cia-afirmam-que-ataques-de-hackers-ja-provocaram-ao-menos-dois-apagoes-no-brasil-914703913.asp