Os pa\u00edses com mais exposi\u00e7\u00f5es a servi\u00e7os de ICS incluem os EUA (mais de 48.000), Turquia, Coreia do Sul, It\u00e1lia, Canad\u00e1, Espanha, China, Alemanha, Fran\u00e7a, Reino Unido, Jap\u00e3o, Su\u00e9cia, Taiwan, Pol\u00f4nia e Litu\u00e2nia.<\/p>\n\n\n\n
As m\u00e9tricas s\u00e3o derivadas da exposi\u00e7\u00e3o de v\u00e1rios protocolos ICS comumente usados, como Modbus, IEC 60870-5-104, CODESYS, OPC UA e outros.<\/p>\n\n\n\n
Um aspecto importante que se destaca \u00e9 que as superf\u00edcies de ataque s\u00e3o regionalmente \u00fanicas: Modbus, S7 e IEC 60870-5-104 s\u00e3o mais amplamente observados na Europa, enquanto Fox, BACnet, ATG e C-more s\u00e3o mais comumente encontrados na Am\u00e9rica do Norte. Alguns servi\u00e7os ICS que s\u00e3o usados \u200b\u200bem ambas as regi\u00f5es incluem EIP, FINS e WDBRPC.<\/p>\n\n\n\n
Al\u00e9m disso, 34% das interfaces homem-m\u00e1quina (HMIs) do C-more est\u00e3o relacionadas \u00e0 \u00e1gua e \u00e0s \u00e1guas residuais, enquanto 23% est\u00e3o associadas a processos agr\u00edcolas.<\/p>\n\n\n\n
“Muitos desses protocolos remontam \u00e0 d\u00e9cada de 1970, mas continuam sendo fundamentais para processos industriais sem as mesmas melhorias de seguran\u00e7a que o resto do mundo viu”, disse Zakir Durumeric, cofundador e cientista-chefe da Censys, em um comunicado.<\/p>\n\n\n\n
“A seguran\u00e7a dos dispositivos ICS \u00e9 um elemento cr\u00edtico na prote\u00e7\u00e3o da infraestrutura cr\u00edtica de um pa\u00eds. Para proteg\u00ea-la, precisamos entender as nuances de como esses dispositivos s\u00e3o expostos e vulner\u00e1veis.”<\/p>\n\n\n\n
Ataques cibern\u00e9ticos visando especificamente sistemas ICS t\u00eam sido comparativamente raros, com apenas nove cepas de malware descobertas at\u00e9 o momento. Dito isso, houve um aumento no malware centrado em ICS nos \u00faltimos anos, especialmente ap\u00f3s a guerra russo-ucraniana em andamento.<\/p>\n\n\n\n
No in\u00edcio de julho, Dragos revelou que uma empresa de energia localizada na Ucr\u00e2nia foi alvo de um malware conhecido como FrostyGoop<\/a> , que utiliza comunica\u00e7\u00f5es Modbus TCP para interromper redes de tecnologia operacional (OT)<\/a> .<\/p>\n\n\n\n Tamb\u00e9m chamado de BUSTLEBERM, o malware \u00e9 uma ferramenta de linha de comando do Windows escrita em Golang que pode causar mau funcionamento em dispositivos expostos publicamente e, por fim, resultar em nega\u00e7\u00e3o de servi\u00e7o (DoS).<\/p>\n\n\n\n “Embora criminosos tenham usado o malware para atacar dispositivos de controle ENCO, o malware pode atacar qualquer outro tipo de dispositivo que fale Modbus TCP”, disseram<\/a> os pesquisadores da Unidade 42 da Palo Alto Networks, Asher Davila e Chris Navarrete , em um relat\u00f3rio publicado no in\u00edcio desta semana.<\/p>\n\n\n\n “Os detalhes necess\u00e1rios para o FrostyGoop estabelecer uma conex\u00e3o Modbus TCP e enviar comandos Modbus para um dispositivo ICS de destino podem ser fornecidos como argumentos de linha de comando ou inclu\u00eddos em um arquivo de configura\u00e7\u00e3o JSON separado.”<\/p>\n\n\n\n De acordo com dados de telemetria capturados pela empresa, 1.088.175 dispositivos Modbus TCP foram expostos \u00e0 internet durante um per\u00edodo de um m\u00eas entre 2 de setembro e 2 de outubro de 2024.<\/p>\n\n\n\n Os agentes de amea\u00e7as tamb\u00e9m voltaram suas aten\u00e7\u00f5es para outras entidades de infraestrutura cr\u00edtica, como autoridades de \u00e1gua. Em um incidente registrado nos EUA no ano passado, a Municipal Water Authority de Aliquippa, Pensilv\u00e2nia, foi violada<\/a> ao tirar vantagem de controladores l\u00f3gicos program\u00e1veis \u200b\u200b(PLCs) da Unitronics expostos na internet para desfigurar sistemas com uma mensagem anti-Israel.<\/p>\n\n\n\n A Censys descobriu que HMIs, que s\u00e3o usadas para monitorar e interagir com sistemas ICS, tamb\u00e9m est\u00e3o sendo cada vez mais disponibilizadas pela Internet para dar suporte ao acesso remoto. A maioria das HMIs expostas est\u00e1 localizada nos EUA, seguida pela Alemanha, Canad\u00e1, Fran\u00e7a, \u00c1ustria, It\u00e1lia, Reino Unido, Austr\u00e1lia, Espanha e Pol\u00f4nia.<\/p>\n\n\n\n Curiosamente, a maioria dos servi\u00e7os HMIs e ICS identificados residem em provedores de servi\u00e7os de internet (ISPs) m\u00f3veis ou empresariais, como Verizon, Deutsche Telekom, Magenta Telekom e Turkcell, entre outros, oferecendo metadados insignificantes sobre quem realmente est\u00e1 usando o sistema.<\/p>\n\n\n\n “HMIs frequentemente cont\u00eam logotipos de empresas ou nomes de plantas que podem auxiliar na identifica\u00e7\u00e3o do propriet\u00e1rio e do setor”, disse Censys. “Os protocolos ICS raramente oferecem essas mesmas informa\u00e7\u00f5es, tornando quase imposs\u00edvel identificar e notificar os propriet\u00e1rios sobre exposi\u00e7\u00f5es. A coopera\u00e7\u00e3o das principais empresas de telecomunica\u00e7\u00f5es que hospedam esses servi\u00e7os provavelmente \u00e9 necess\u00e1ria para resolver esse problema.”<\/p>\n\n\n\n O fato de as redes ICS e OT fornecerem uma ampla superf\u00edcie de ataque para agentes mal-intencionados explorarem exige que as organiza\u00e7\u00f5es tomem medidas para identificar e proteger dispositivos OT e ICS expostos, atualizar credenciais padr\u00e3o e monitorar redes em busca de atividades maliciosas.<\/p>\n\n\n\n O risco para esses ambientes \u00e9 agravado por um aumento no malware de botnet<\/a> \u2014 Aisuru, Kaiten, Gafgyt, Kaden e LOLFME<\/a> \u2014 explorando credenciais padr\u00e3o de OT n\u00e3o apenas para us\u00e1-las na condu\u00e7\u00e3o de ataques de nega\u00e7\u00e3o de servi\u00e7o distribu\u00eddo (DDoS), mas tamb\u00e9m para limpar dados presentes nelas.<\/p>\n\n\n\n A divulga\u00e7\u00e3o ocorre semanas ap\u00f3s a Forescout revelar que esta\u00e7\u00f5es de trabalho de Imagem Digital e Comunica\u00e7\u00f5es em Medicina (DICOM) e Sistemas de Arquivamento e Comunica\u00e7\u00e3o de Imagens (PACS), controladores de bombas e sistemas de informa\u00e7\u00f5es m\u00e9dicas s\u00e3o os dispositivos m\u00e9dicos de maior risco para organiza\u00e7\u00f5es de presta\u00e7\u00e3o de servi\u00e7os de sa\u00fade (HDOs).<\/p>\n\n\n\n O DICOM \u00e9 um dos servi\u00e7os mais utilizados por dispositivos de Internet das Coisas M\u00e9dicas (IoMT) e um dos mais expostos online, observou a empresa de seguran\u00e7a cibern\u00e9tica, com um n\u00famero significativo de inst\u00e2ncias localizadas nos EUA, \u00cdndia, Alemanha, Brasil, Ir\u00e3 e China.<\/p>\n\n\n\n![\"\"\/](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEh9vTp15hXPzb-XLPb6we6m3iQYOHZREGNwUf_7VCL5mpUDmDpmcgamCkYcAIvbNzBqD3RcJn61A3CcwXuQuF-ZUNRXsYU2Zl322qk-ZMN-KHvw10oF2M3JYrxJgpWO6t2VMWb3HALHfux9gCvtBbd6fK0F08oZ78NosE0zYiG3ByQNkC_jE8hTlkBk1_IW\/s728-rw-e365\/tco.png\")
<\/a><\/figure>\n\n\n\n![\"\"\/](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEh58jm3atUwwGiYXUbXzMOcyixu6aRktjA8V4__W7fWatA4zksl_dzFz6WQ8j0_qQWNeJLph1K4dDhhNuukX6lyDrUIo5GUl_Oknh_oMOvaGXkTfFhsuY4nNNh4ZrSJD0YqYNX44Eifp4M3UsAcAkICMY6WnZ1HkV7XcpRsWWIVKLm1NPkLGII7x5USqLQc\/s728-rw-e365\/count.png\")
<\/a><\/figure>\n\n\n\n