Empresas de energia são alvo de ataques via tecnologia abandonada há 17 anos

Um sistema de servidores online usado em câmeras de segurança conectadas, mas descontinuado em 2005, colocou empresas de energia e infraestrutura na mira de cibercriminosos. Os casos aconteceram na Índia em abril deste ano, quando companhias de setores essenciais foram alvo de golpes realizados por grupos a serviço do governo chinês.

• Como o ransomware afeta a Internet das Coisas?
• Pesquisa revela dispositivos de Internet das Coisas preferidos de criminosos

Nos casos mais graves, as quadrilhas foram capazes de comprometer o sistema nacional de alertas de emergência e plataformas digitais de uma das maiores distribuidoras de eletricidade do país, que sofreu um ataque de ransomware. A operação indiana de uma empresa multinacional de logística, cujo nome não foi divulgado, também teria sido vítima dos golpes, que teriam motivações políticas e econômicas.

Por trás dos incidentes estão tecnologias de servidores web da Boa, descontinuadas em 2005 mas que continuam sendo usadas em aparelhos da Internet das Coisas. As vulnerabilidades, mais especificamente, atingem sistemas de gerenciamento dos aparelhos, permitindo a execução remota de códigos, o acesso a arquivos e a movimentação lateral pelas redes comprometidas.

De acordo com a Microsoft, que emitiu alerta sobre o uso dos recursos frágeis, são mais de 1 milhão de servidores Boa expostos em todo o mundo. A Índia aparece como o país com maior concentração de casos, com o Brasil, Estados Unidos, Vietnã e África do Sul também estando na lista de atenção da companhia.

Segundo a empresa, o interesse dos bandidos nestas infraestruturas comprometidas é claro, já que as ocorrências vêm se acumulando, enquanto o perigo se torna ainda maior quando falamos de organizações que prestam serviços essenciais ou governos. Os ataques não precisam nem mesmo serem sofisticados, já que não exigem credenciais ou ferramentas arrojadas para que os códigos sejam executados de forma remota e deem origem ao comprometimento.

A interrupção no uso dos dispositivos vulneráveis e a substituição por alternativas que ainda recebam atualizações é a principal recomendação, principalmente, para as organizações que lidam com dados ou serviços críticos. O uso de regras de detecção e monitoramento ajuda a mitigar ataques, com os detalhes técnicos disponibilizados pela Microsoft em alerta sobre o assunto.

No caso indiano, pelo menos um dos ataques, realizado contra a fornecedora de energia elétrica Tata Power, foi assumido pela quadrilha de ransomware Hive. Por enquanto, não existem registros de golpes envolvendo a vulnerabilidade nos servidores contra organizações brasileiras.

Fonte: Microsoft, Recorded Future