Pesquisadores desenvolvem ataque usando IoT e TI para entregar ransomware contra OT
Indústrias críticas devem se preparar para uma nova onda de ataques de ransomware especificamente visando OT
Ransomware é uma categoria de extorsão. Seu único propósito é extrair dinheiro da vítima. À medida que a indústria melhorou em evitar pedidos de resgate, os atacantes adicionaram outro nível de extorsão – chantagem de dados para criar “dupla extorsão”.
À medida que os defensores melhoram em se defender de dupla extorsão, os atacantes evoluirão novamente. O caminho mais óbvio será atacar a tecnologia operacional (OT) em vez de apenas TI. Ataques contra OT são mais difíceis de alcançar, mas o efeito é igualmente mais difícil de mitigar. A evolução da extorsão cibernética torna isso mais do que apenas um possível desenvolvimento.
O Vedere Labs da Forescout publicou uma prova de conceito (PoC) para um ataque de ‘ransomware’ que usa IoT para acesso, TI para travessia e OT (especialmente PLCs) para detonação. Ele se chama R4IoT e é descrito como a próxima geração de ransomware.
O aspecto preocupante deste PoC é que ele não requer nada de novo. O acesso à IoT foi escolhido devido ao crescimento de dispositivos IoT que geralmente recebem menos atenção defensiva do que outras partes da rede. Esse acesso provavelmente aumentará.
A travessia através e através da TI é conhecida e compreendida, mas nem sempre vista por causa da tendência atual de os atacantes “viverem fora da terra”. A travessia da TI para o TT é cada vez mais possível devido à convergência contínua das duas redes, necessária pela transformação digital dos negócios modernos. Ao longo do PoC, foram utilizadas vulnerabilidades e explorações existentes.
Ataques futuros contra o OT de indústrias críticas são inevitáveis, mesmo que apenas porque as indústrias críticas (pensem que o Oleoduto Colonial) são mais propensos a pagar a extorsão, e pagar rapidamente. O PoC forescout foi projetado para demonstrar a facilidade com que gangues criminosas podem entregar esse tipo de extorsão – mas vale ressaltar também que os Estados-nação poderiam usar o processo para entregar limpadores contra a infraestrutura crítica.
Isso seria tecnicamente mais difícil e exigiria um conhecimento da rede direcionada. Acredita-se que as nações adversárias estiveram dentro de redes críticas em missões de vigilância há anos – então, elas já podem ter esse conhecimento.
Os dois aspectos mais importantes emergindo do trabalho forescout são a probabilidade de aumento de incursões via dispositivos IoT, e o potencial de interromper a rede OT para fins de extorsão sem exigir sofisticação especializada no nível APT.
Os criminosos já estão tomando nota do potencial da IoT, e as façanhas podem ser compradas na dark web. “Lemon Duck é uma botnet de criptominação Monero que usa dispositivos IoT como pontos de entrada para infectar computadores, o grupo de ransomware Conti tem como alvo dispositivos como roteadores, câmeras e NAS com interfaces web expostas para se mover internamente em organizações afetadas, variantes do malware Trickbot usam roteadores como proxy para entrar em contato com servidores C&C, e o malware Cyclops Blink (ligado ao grupo Sandworm patrocinado pelo Estado) explora roteadores para acesso inicial, “, observa o relatório.
A ameaça crescente da IoT vem do número de dispositivos que estão sendo instalados com pouca percepção de que eles são parte integrante da rede. Eles não são defendidos nem corrigidos com o rigor aplicado ao resto da rede. Mas como eles geralmente são expostos tanto à internet quanto à infraestrutura interna, eles podem fornecer fácil acesso para criminosos.
O lado de TI da operação não é discutido detalhadamente no relatório porque as questões são bem conhecidas se ainda não bem resolvidas. Em vez disso, o relatório se concentra em dispositivos incorporados IoT e OT. “Uma coisa que une as possibilidades iniciais de acesso e impacto trazidas pelos dispositivos IoT e OT incorporados é o número crescente de vulnerabilidades da cadeia de suprimentos que afetam milhões desses dispositivos ao mesmo tempo”, diz o relatório. Os pesquisadores chamam o Project Memoria de afetar pilhas de TCP/IP, BadAlloc afetando RTOSes, Access:7 afetando uma plataforma de gerenciamento de IoT popular e vulnerabilidades no aplicativo BusyBox usado por muitos dispositivos Linux.
No entanto, o progresso do ransomware R4IoT é brevemente descrito. Ele mapeia as diferentes máquinas da rede e usa o hash NTLM da conta do administrador e a funcionalidade WMI dentro do impacket para se conectar a cada uma delas. Lá ele desativa o firewall do Windows e o Windows Defender, e derruba outros executáveis R4IoT (um minerador de criptomoedas e um executável Memoria que lançará ataques DoS contra ativos críticos de IoT/OT). Uma versão modificada do kit de ferramentas Racketeer fornece funcionalidades C&C Server/Agent. Sob demanda do C&C Server, o Agente C&C pode criptografar ou descriptografar arquivos na máquina infectada, pode exfiltrar arquivos e lançar executáveis arbitrários com privilégios administrativos.
O drama do relatório se concentra no dano que pode ser feito se um invasor conseguir obter acesso à TI através de um dispositivo IoT e, em seguida, obter acesso ao OT via convergência de TI/OT. Alguns danos podem ser causados no Nível 2 da Purdue e acima porque essas são máquinas regulares do Windows/Linux. Mas o Forescout se concentra em atacar os PLCs, uma vez que o efeito é mais dramático, imediato e difícil de mitigar. Ele olha para ataques DoS entregues internamente, uma vez que os PLCs raramente são expostos ao mundo exterior.
Existem mais de meio milhão de dispositivos executando pilhas de TCP/IP vulneráveis ao Project Memoria em organizações em quase todas as verticais do setor. Explorar esses dispositivos com ataques de negação de serviço semelhantes e simples dá aos atacantes a capacidade de interromper muitos tipos de organizações.
Uma vez que os PLCs são efetivamente retirados pelo DoS, o dano é feito. Partes críticas do funcionamento das empresas podem ser interrompidas, seja uma correia transportadora ou uma bomba de infusão.
“A janela de proteção passou”, disse Daniel dos Santos, chefe de pesquisa de segurança da Forescout Vedere Labs, à SecurityWeek. “Para dar um exemplo extremo, se ele estiver conectado a um gasoduto pobre e a medir condições de pressão, as coisas podem explodir. Esse é o principal problema com o OT – se o invasor chegar a esse ponto e puder fazer com que o dispositivo fique offline ou mude algumas configurações no dispositivo, o perigo físico se torna muito mais presente; e provavelmente muito mais crítico do que qualquer perigo para os dados.
R4IoT não é um novo desenvolvimento em malware. Ele usa explorações que já existem. Mais preocupante, a prova de conceito mostra que ele poderia ser usado em escala por hackers menos sofisticados usando ransomware-as-a-service. A implicação é que as indústrias críticas devem se preparar agora para uma nova onda de ataques de ransomware especificamente visando OT.
A resposta rápida tradicional ao ransomware de TI, como tirar os sistemas de forma off-line, não funcionará com o OT. É o que dos Santos descreve como “morte por suicídio”. Você pode parar o progresso do ataque, mas você está se auto-infligindo o propósito final do ataque. As organizações precisam preparar sua resposta agora – e isso só pode ser construído com segmentação de confiança zero e melhor visibilidade em TI e OT com algo como detecção de anomalias.
“R4IoT”, continua dos Santos, “é o primeiro trabalho a analisar como o ransomware pode impactar a IoT, e fornece uma prova completa de conceito desde o acesso inicial via IoT até o movimento lateral na rede de TI e o impacto subsequente na rede OT. Atores de ameaças estão explorando uma superfície de ameaça mais ampla do que antes, e vemos grupos de hackers discutirem o acesso à IoT em fóruns hoje. Tornou-se imperativo armar as organizações com conhecimento para ampliar suas defesas proativas e garantir que os dispositivos IoT tenham segmentação adequada de sua infraestrutura crítica de TI e OT.”
FONTE: SECURITYWEEK