A ISH Tecnologia, referência nacional em cibersegurança, publicou um relatório detalhando as principais ameaças digitais direcionadas ao setor de água e saneamento mundial. A empresa revelou que grupos de ransomware e APT (Ameaça Persistente Avançada) aproveitam a falta de manutenção e atualizações regulares nos sistemas dessas empresas para acessar conteúdos sensíveis e perseguir objetivos mal-intencionados.
Atores de ameaça
A equipe de Inteligência de Ameaças da ISH Tecnologia categorizou os cibercriminosos que atacam instituições do setor de água e saneamento em dois grupos principais, com base em suas motivações e métodos de ataque:
- Atores Criminosos: Esses cibercriminosos normalmente realizam ataques usando ransomware. Seu objetivo é explorar vulnerabilidades nos servidores das organizações para causar interrupções generalizadas no abastecimento, tratamento e distribuição de água.
- Atores Patrocinados por Estados: Esses agentes combinam operações cibernéticas e informacionais para executar ataques direcionados a esses serviços. Um exemplo é o conflito entre Ucrânia e Rússia, onde foram observadas ofensivas russas visando interromper os setores de energia e abastecimento de água, com o intuito de causar problemas na distribuição e minar a confiança pública nessas instituições.
Principais grupos e vulnerabilidades
A ISH Tecnologia detalhou as principais características, métodos operacionais e informações relevantes sobre os grupos mal-intencionados mais proeminentes:
LockBit (Ransomware): Este grupo é conhecido por sua extensa atividade online e operações avançadas de malware. O LockBit opera usando um modelo de Ransomware-como-Serviço (RaaS), que envolve serviços de propagação de malware em larga escala com remuneração por ataques bem-sucedidos.
Vulnerabilidades Comuns Exploradas pelo LockBit:
CVE-2018-13379: Vulnerabilidade de path traversal na VPN SSL Fortinet FortiOS.
CVE-2019-0708: Vulnerabilidade de execução remota de código nos serviços RDP da Microsoft.
CVE-2020-1472: Vulnerabilidade de elevação de privilégios no Netlogon.
CVE-2021-22986: Vulnerabilidade de execução remota de código no F5 BIG-IP e BIG-IQ.
CVE-2021-44228: Vulnerabilidade de execução remota de código no Apache Log4j.
CVE-2023-27350: Vulnerabilidade de controle de acesso no PapperCut MF/MG.
CVE-2023-0669: Vulnerabilidade de execução remota de código no Fortra GoAnywhere MFT.
As principais operações do LockBit visam criptografar empresas no setor de água e saneamento, exigindo pagamentos para liberar as chaves de decriptação e recuperar as informações confiscadas.
Clop (Ransomware): Inicialmente focado na exploração de vulnerabilidades por meio de phishing para ganhos financeiros, o Clop adaptou suas operações para se tornar mais discreto e eficiente após a captura de alguns membros em 2021.
Vulnerabilidades Comuns Exploradas pelo Clop:
CVE-2021-2701: Injeção de SQL através de cabeçalho host criado.
CVE-2021-27102: Execução de comandos no sistema operacional através de chamada de serviço web local.
CVE-2021-27103: SSRF através de solicitação POST criada.
CVE-2021-27104: Execução de comandos no sistema operacional através de solicitação POST criada.
CVE-2021-35211: Possibilidade de execução remota de código (RCE).
CVE-2022-41080: Vulnerabilidade de elevação de privilégio.
CVE-2023-27350: Permite que atores de ameaças realizem bypass em autenticações.
CVE-2023-34362: Vulnerabilidade de injeção de SQL no aplicativo web.
CVE-2023-0669: Injeção de comandos pré-autenticada controlada pelo ator de ameaça.
Cyber Av3ngers (Ator Patrocinado por Estado – Irã): Ligado ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã, este grupo ataca infraestruturas críticas, especialmente nos EUA e Israel, focando em sistemas SCADA. O grupo usa técnicas de criptografia, credenciais padrão e portas de acesso para alcançar seus objetivos.
