Pesquisadores criaram honeypot falso de empresa de energia para saber como cibercriminosos o explorariam
As redes industriais estão sendo alvos de uma série de ataques de ransomware, alertaram pesquisadores de segurança, depois que um experimento revelou a velocidade com que hackers estão descobrindo vulnerabilidades em infraestruturas críticas.
A empresa de segurança Cybereason construiu um ‘honeypot’ projetado para simular uma empresa de eletricidade com operações na Europa e na América do Norte. A rede foi criada para parecer autêntica e atrair invasores em potencial, incluindo ambientes de tecnologia operacional e de TI, bem como sistemas de interface humana.
Toda a rede foi construída com problemas comuns de segurança encontrados em infraestruturas críticas reais, incluindo portas de desktop remotas voltadas para internet, senhas de média complexidade e alguns controles de segurança, incluindo segmentação de rede.
O honeypot entrou em operação no início deste ano e foram necessários apenas três dias para os invasores descobrirem a rede e encontrarem maneiras de comprometê-la — incluindo uma campanha de ransomware que se infiltrava em partes da rede, além de obter credenciais de logon.
“Após o lançamento do honeypot, o ransomware foi colocado em todas as máquinas”, disse Israel Zak, diretor de segurança da informação da Cybereason, à ZDNet. Os hackers instalaram o ransomware, explorando ferramentas de administração remota para obter acesso à rede e quebrando a senha do administrador para efetuar login e controlar remotamente a área de trabalho.
A partir daí, eles criaram uma backdoor (porta do fundo) em um servidor comprometido e usaram ferramentas adicionais do PowerShell, incluindo o Mimikatz, que permitiram aos invasores roubar credenciais de login, além de permitir movimentações laterais pela rede — e a capacidade de comprometer ainda mais máquinas. Os hackers realizaram varreduras para encontrar o máximo de endpoints (dispositivos na extremidade da rede) a serem acessados, obtendo o máximo possível de credenciais.
Isso significa que, além de implantar ransomware, os hackers também têm a capacidade de roubar nomes de usuário e senhas, algo que poderiam explorar ameaçando revelar dados confidenciais se um resgate não for pago.
“Somente depois que os outros estágios do ataque foram concluídos, o é que o ransomware foi detonado em todos os endpoints comprometidos simultaneamente. Essa é uma característica comum das campanhas de ransomware em vários estágios, cujo objetivo é ampliar o impacto do ataque na vítima”, contou Barak.
Os ataques de ransomware de várias fontes diferentes frequentemente descobriam o honeypot e muitos tentavam outros ataques de ransomware, enquanto outros hackers estavam mais interessados em realizar o reconhecimento da rede — como foi o caso de um experimento anterior com honeypot. Embora isso possa não parecer tão perigoso quanto o ransomware, um invasor que esteja procurando maneiras de explorar a rede pode ter consequências potencialmente perigosas.
No entanto, parece que o ransomware se tornou um dos principais métodos pelos quais os invasores estão tentando explorar a infraestrutura. Eles podem facilmente comprometer o que o relatório descreve como uma “enxurrada constante” de ataques — e algo que provavelmente se tornará mais intenso.
Felizmente, os hackers que atacaram o honeypot não puderam causar nenhum dano real, mas o experimento demonstra como as infraestruturas críticas precisam ser resistentes o suficiente para evitar invasões indesejadas, projetando e operando as redes com resiliência, especialmente quando se trata de segregar redes de tecnologia operacional e de TI. Mesmo melhorias básicas, como garantir que as redes sejam protegidas por senhas complexas difíceis de adivinhar, podem ajudar, enquanto iniciativas de segurança mais complexas podem ajudar a criar proteção.
Fonte: CISO Advisor (https://www.cisoadvisor.com.br/hackers-levam-apenas-3-dias-para-encontrar-rede-industrial-e-ataca-la/)