Estamos em 2022 e os ataques cibernéticos estão se tornando sofisticados e mais sinistros. A última década assistiu a um aumento alarmante no número de ataques cibernéticos, principalmente na forma de ataques de ransomware, com versões antigas sendo aprimoradas e novas versões sendo desenvolvidas, cada uma mais destrutiva que a anterior.
Como se isso não fosse assustador o suficiente, o disruptionware agora está em ascensão — um tipo de ataque que visa redes e operações crÃticas e as paralisa. Esta é uma ameaça emergente que pode potencialmente interromper a confidencialidade, integridade e disponibilidade – muitas vezes referida como a trÃade da CIA – dos sistemas, redes e dados de um usuário. Foi identificado pela primeira vez pelo Institute for Critical Infrastructure Technology.
Disruptionware pode ser muito mais prejudicial do que os outros tipos de ataques cibernéticos. A maioria dos ataques regulares de ransomware, como sabemos, tem como alvo os sistemas, dados e rede da vÃtima e a mantém como refém, exigindo um resgate. No entanto, o disruptionware ataca as redes de tecnologia da informação (TI) e de tecnologia operacional (TO) de suas vÃtimas. Ou seja, além de atacar suas redes e sistemas, o disruptura ataca a infraestrutura fÃsica da organização, afetando sua capacidade de operação. Isso pode essencialmente paralisar a organização vÃtima. O impacto de ataques como esses em agências governamentais e outras infraestruturas crÃticas, como hospitais, pode ser catastrófico.
O arsenal de disrupturaÂ
Embora o ransomware seja a ferramenta mais comum usada pelos agentes de ameaças para iniciar um ataque de disrupção, existem várias outras ferramentas no arsenal de disrupção que os invasores utilizam. Isso inclui limpadores, ferramentas de exfiltração de dados, recursos de bricking e ferramentas de reconhecimento de rede.
O Disruptionware geralmente tira proveito das vulnerabilidades do Remote Desktop Protocol (RDP) para infectar as vÃtimas por meio de canais de backdoor, cavalos de Tróia de acesso remoto e outros tipos de malware. Devido à sua natureza inerente de visar redes e operações crÃticas, o disruptura pode ser extremamente prejudicial para suas vÃtimas. Não é mais uma situação de apenas manter os dados como reféns ou uma possÃvel indisponibilidade por algumas horas ou dias. Esses ataques também representam uma grave ameaça à saúde e à segurança pública.
 VÃtimas de disrupçãoÂ
Um ataque de disruptura em 2020 em um hospital alemão resultou no desligamento não apenas dos computadores do hospital, mas também de sua rede OT e infraestrutura da sala de cirurgia. Isso essencialmente levou ao desligamento e à inacessibilidade de sistemas e equipamentos crÃticos de suporte à vida, devido ao qual vários procedimentos médicos crÃticos foram paralisados. Isso acabou levando à morte de um paciente que estava programado para uma cirurgia de emergência.
Outro exemplo de ataque disruptivo é o do pipeline colonial dos EUA em maio de 2021. Embora o ataque inicial tenha ocorrido na forma de ransomware, os agentes da ameaça conseguiram usar malware para desligar as redes de TI e OT do pipeline. O gasoduto foi forçado a fechar por vários dias, causando grandes interrupções em muitas companhias aéreas e aeroportos.
Como mitigar ataques de disruptura
A ameaça de ataques disruptivos é maior do que nunca no local de trabalho atual, onde as organizações estão se movendo rapidamente em direção ao trabalho remoto, que depende muito da tecnologia.
Embora seja crucial tomar medidas preventivas contra todos os tipos de ataques cibernéticos, é essencial priorizar riscos como os apresentados por disruptiveware, pois esses tipos de ataques causam muito mais danos colaterais.
As organizações devem:
-
Certificar-se de que eles tenham sistemas de segurança cibernética robustos e atualizados para proteger suas redes de TI e OT.
-
Ter um sistema sólido de backup de dados, tanto para dados locais quanto para dados na nuvem.
-
Ter equipes dedicadas que podem monitorar e identificar qualquer acesso não autorizado a redes crÃticas e tomar as medidas necessárias para interromper o ataque e minimizar os danos.
Além das medidas preventivas, também é imperativo que as organizações tenham um plano de resposta e defesas eficazes. Isso garantirá que, em caso de ataque, a organização esteja preparada com o plano de ação certo para se recuperar com o mÃnimo de danos e o mais rápido possÃvel.
Nossa solução SIEM, ManageEngine Log360, ajuda a prevenir ataques, alertando você se quaisquer eventos ou atividades incomuns forem detectados e iniciando processos de correção automática. Para ver como o Log360 pode ajudar a defender sua organização contra disrupção, malware e outros ataques cibernéticos, inscreva-se para uma demonstração gratuita e personalizada.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Vamsi Krishna Sanapala.