Blog

Como o ataque à JBS mostra que ainda precisamos melhorar a segurança da infraestrutura

No começo de junho de 2021, a JBS, o maior processador de carne do mundo, sofreu com o ataque do ransomware Met REvil. Isso não é exatamente uma novidade, claro, criminosos sem escrúpulos têm bloqueado os dados e exigindo o pagamento de indivíduos e entidades por anos – mas os ataques recentes representam uma escalada significativa em escala e tipo, na medida em que os invasores atingem cada vez mais serviços públicos essenciais.

Do começo do ano para cá, várias empresas têm sido vítimas do Darkside – um grupo que tem por objetivo realizar ataques de ransomware a instituições públicas e privadas. Toda a parte de infraestrutura e IoT virou um alvo potencial para esses grupos. Em resumo: empresas que rodam infraestrutura crítica, como fornecedores de alimentos e energia, junto a escolas e instituições de saúde, costumam ser alvos fáceis para os criminosos. Muitas organizações nesses setores são financiadas com fundos públicos e muitas vezes carecem do orçamento e da experiência de grandes empresas privadas com bons recursos. Por esse motivo, as instalações governamentais, a educação e o setor da saúde tendem a ser as vítimas mais frequentes de ransomware entre os 16 setores que a CISA designa como ‘infraestruturas críticas’. 

Enquanto os ataques no setor de alimentos e agricultura não são tão comuns, têm supostamente sido pelo menos 40 casos nos últimos doze meses de ransomware alvo empresas de alimentos. E, infelizmente, como vimos na semana passada com a JBS, o efeito de atingir um grande distribuidor de alimentos com ransomware pode ter consequências muito além da perda monetária para a própria organização.

Fornecedores de alimentos são alvos tentadores para ransomware

O episódio à JBS representa um ataque massivo ao abastecimento de alimentos não apenas nos Estados Unidos, mas em países ao redor do mundo. A JBS é a maior fornecedora de carne do mundo, com mais de 150 fábricas e mais de 150 mil trabalhadores empregados em 15 países.

Em seu comunicado oficial, a JBS disse que tinha sido “o alvo de um ataque organizado de cibersegurança, afetando alguns dos servidores que suportam seus sistemas de TI norte-americanos e australianos”. Embora a empresa tenha dito ter limitado o ataque a “um dia de produção” — quem é da área de Segurança da Informação sabe que a extensão desse tipo de ataque costuma ser muito mais ampla — com mudanças de tecnologia, políticas, procedimentos que levam um tempo considerável.

Os autores do ataque: grupo REvil (Sodinokibi)

O grupo de ransomware REvil está em operação desde pelo menos meados de 2019. No início deste ano, o grupo foi manchete com dois ataques de alto perfil às empresas de tecnologia Acer em março e ao fornecedor da Apple Quanta em abril, exigindo pagamentos de resgate no valor de US $ 50 milhões (não se sabe se algum deles foi pago).

As operadoras também estão ajustando sua oferta de RaaS (Ransomware-as-a-Service) em uma tentativa de evitar controles de segurança fracos. Uma versão recente tenta reinicializar um computador infectado no Modo de segurança do Windows com rede usando o argumento -smode. O ransomware altera a senha do usuário para um valor embutido em código e, em seguida, efetua login automaticamente com as novas credenciais. A plataforma SentinelOne protege contra esta (e todas as outras) versões do ransomware REvil .

A poeira ainda não baixou sobre este ataque e muitos fatos permanecem desconhecidos, incluindo se a empresa pagou um resgate. A JBS projetava otimismo de que a produção seria restaurada rapidamente em locais onde havia sido interrompida, mas mesmo uma pequena interrupção de um quinto da capacidade de colheita de carne bovina dos Estados Unidos poderia ter grandes repercussões no mercado, potencialmente causando escassez e aumento no fornecimento de curto prazo preços da carne bovina e outras proteínas. Uma interrupção mais longa poderia ter causado impactos enormes em toda a cadeia de abastecimento alimentar.

Hackers criminosos têm sondado habilmente em busca de novas vulnerabilidades e encontrado novas oportunidades em lugares que antes não pensávamos como sendo particularmente ciberdependentes. Pelo menos à primeira vista, poucas coisas poderiam parecer menos vulneráveis ​​ao hacking do que a colheita de carne bovina, mas cada pessoa e cada entidade é potencialmente e cada vez mais vulnerável.

O que vem por aí para o ransomware e nossa infraestrutura crítica?

Esses ataques levantam o espectro de eventos ainda mais destrutivos no futuro. E se hackers criminosos conseguissem desferir um grande golpe na rede elétrica ou um ataque sustentado a um grande fornecedor de energia ou a um serviço público de uma grande cidade? Anteriormente, esses tipos de ataques importantes à infraestrutura crítica civil eram privilégio de grandes ações contra países e, agora, esse tipo de ataque acontece contra organizações.

Esta é a realidade de nosso mundo interconectado: ameaças cibernéticas são ameaças de toda a sociedade. Os ataques de alto impacto não são mais simplesmente uma preocupação geopolítica – eles são uma ameaça sempre presente em empresas privadas ou públicas. Em ambos os casos, os criminosos buscam incansavelmente vulnerabilidades e pontos problemáticos, e lidar adequadamente com qualquer um deles exige que reconheçamos a escala e a urgência da ameaça. A proteção de nosso suprimento de alimentos, rede elétrica, sistemas hospitalares e tantos outros elementos de infraestrutura crítica exige que todas as entidades públicas e privadas se empenhem para enfrentar essa ameaça.

Se você quiser saber mais sobre como a plataforma SentinelOne Singularity pode ajudar a proteger sua organização ou negócio, entre em contato conosco ou solicite uma demonstração gratuita.

 

A transformação começa agora.