Indústria americana de óleo e gás está preocupada com ataques cibernéticos

Da Redação – 19.05.2017 –

Avaliação é de estudo recente do Ponemon Institute, que avalia que quase 70% dos pesquisados já teve pelo menos um tipo de ataque no último ano

A onda de ataques cibernéticos está longe de ser assunto restrito aos especialistas de tecnologia da informação. De acordo com um estudo recente, divulgado pela norte-americana Bedrock Automation, especializada em automação industrial, os ataques resultaram em perda de informações confidenciais. Dados são do Ponemon Institute (pede-se, definitivamente, para não confundir com Pokemon) indicam que 66% dos entrevistados dizem que os riscos de ameaças cibernéticas em sistemas de controle industrial (ICSs) aumentaram substancialmente nos últimos anos.

O levantamento traz ainda outros dados complicados. Cerca de 61% dos profissionais ouvidos avaliam que seus sistemas de proteção e segurança de ICS é inadequado. E mais: 63% deles avaliam que isso acontece porque os sistemas de controle que adotam estão ultrapassados. Para 61%, o uso de produtos de TI padrão e com vulnerabilidades conhecidas é um risco para o ambiente de trabalho.

No Brasil, a A Ixia, que provê soluções de teste, visibilidade e segurança, confirma a avaliação da empresa americana. Steve McGregory, diretor Sênior de Inteligência sobre Ameaças a Aplicativos da companhia, resume como é possível lutar com essa realidade.

“As empresas não podem continuar ignorando o ransomware. Se a organização não tiver um back up dos dados importantes que são armazenados somente nos sistemas afetados pelo ataque, os custos podem ser consideráveis tanto em termos monetários quanto em reputação”, diz ele. “A perda de dados de clientes, de registros financeiros e de outras informações insubstituíveis pode fazer com que a empresa não consiga mais fazer negócios e deixar buracos permanentes nos seus registros”, completa.

A Ixia defende um roteiro de três ações para a defesa. Como o trio envolve um conhecimento específico, vamos lista-los para que eles sejam debatidos com a área de TI de cada companhia. Em vermelho os termos que não entendemos. Se sua área de TI também não entender, isso prova que o perigo é ainda maior:

Descobrir a sua origem: a cadeia de infecção do ransomware sempre se inicia com um email de phishing contendo um arquivo anexo. O documento geralmente contém uma macro pequena, o suficiente para parecer inofensiva até mesmo para as tecnologias de Sandbox. Quando o documento é aberto, a macro é ativada e conectada ao servidor remoto do criminoso na internet e começa a baixar o payload do ransomware na máquina. A macro também reescreve o payload conforme este é baixado, de forma que o conteúdo pareça inofensivo até que ele efetivamente entre na máquina hospedeira

Entender o seu comportamento: focar a proteção contra ransomware no conteúdo enviado é uma batalha perdida. As macros que utilizam emails dificilmente são detectadas – mesmo por ferramentas de Sandbox avançadas- pois quando examinadas não apresentam comportamento malicioso. O payload não parecerá malicioso até que o mesmo esteja efetivamente instalado na máquina e comece a criptografar. Por isso, as empresas devem buscar a origem da infecção e não somente focar no que ela é.

Bloquear a infecção: os payloads no estágio final da infecção por ransomware são entregues por endereços de IP na internet desconhecidos e maliciosos. Como os endereços de IP são relativamente escassos, os mesmos endereços “ruins” tendem a ser reutilizados de forma contínua. Mesmo as variantes mais novas de software mal-intencionado podem ser vinculadas a um número pequeno de endereços de IP comprometidos