Embed Size (px)
Citation preview
RANSOMWARE EM INFRAESTRUTURAS CRÍTICAS. O
QUE NOS ESPERA DEPOIS DOS ATAQUES GLOBAIS
POR WANNACRYPT0R E NOTPETYA?
Marcelo Ayres Branquinho 1
Resumo
A segurança cibernética das infraestruturas críticas mundiais foi colocada em teste no último dia
12 de maio com o ataque global via Wannacry, um Ransomware tecnicamente simples e que
usava de uma vulnerabilidade antiga do sistema operacional Windows para se propagar.
Embora tenha sido um ataque importante e com sérias consequências, ele foi um ataque que
pôde ser contido com uso de contramedidas básicas como a simples atualização do sistema
operacional Windows.
Este trabalho objetiva detalhar as serías consequências de uma infecção por Ransomware em
redes de sistemas de controle industrial (ICS) de infraestruturas críticas.
O trabalho foi desenvolvido baseado nas boas práticas da norma ANSI/ISA-99 (atual IEC
62443) e tem como objetivo aumentar o nível de consciência das empresas globais quanto à
necessidade imediata de investimentos em segurança cibernética em redes industriais.
Para ilustrar as consequências de um ataque por Ransomware em ICS, foram elencados estudos
de caso de dois ataques em sistemas de controle industriais Brasileiros. O primeiro ataque
ocorreu em uma fábrica de móveis e o segundo em um centro de controle de uma importante
concessionária de energia. Em ambos os casos este estudo detalhou o tipo de Malware usado, as
consequências do ataque, prejuizos financeiros ocorridos e as contramedidas realizadas para o
retorno à operação.
A conclusão do trabalho provoca a reflexão sobre o que ainda está por vir após os ataques dos
Ransomwares Wannacry e Petya, mencionando os ataques que estão sendo desenvolvidos neste
momento, e qual impacto se deve esperar caso estes novos ataques atinjam redes de
infraestruturas críticas com baixo nível de segurança cibernética implementada.
Keywords: Ransomware, SCADA, Security, Malware, Attacks.
1 CEO da TI Safe Segurança da Informação Ltda, Brasil (http://br.linkedin.com/in/marcelobranquinho)
INTRODUÇÃO: O VULNERÁVEL AMBIENTE DAS REDES DAS
INFRAESTRUTURAS CRÍTICAS
Infraestruturas críticas são as instalações, serviços e bens que, se forem interrompidos ou
destruídos, provocarão sério impacto social, econômico e/ou político. Aqui, podemos citar
alguns exemplos, como empresas dedicadas a:
• Geração e distribuição de eletricidade;
• Telecomunicações;
• Fornecimento de água;
• Produção de alimentos e distribuição;
• Aquecimento (gas natural, óleo combustível);
• Saúde Pública;
• Sistemas de Transportes;
• Serviços financeiros;
• Serviços de Segurança (polícia, exército)
As infraestruturas críticas tem o papel de manter a nossa sociedade e economia funcionando,
seja fornecendo energia para nossas casas e nosso trabalho, roteando nossas chamadas
telefônicas, purificando a água que bebemos, aquecendo ou refrescando nossas residências,
cuidando dos nossos doentes ou mantendo nosso bancos funcionando de forma a facilitar o
giro de capital pela nossa economia, ou até mesmo nossas forças armadas que nos defendem das
ameaças externas, em suma, todas aquelas atividades que, mesmo que não percebamos, são
engrenagens que, sem as quais, a grande máquina que é nosso país, deixaria de funcionar ou o
faria de forma precária. Sendo assim é importante destacar quais são esses ativos, suas
localizações e como protegê-los, quer seja em um ataque terrorista, uma guerra ou mesmo um
desastre natural.
Os sistemas SCADA atuais que compoem as redes de controle das infraestruturas críticas
pouco se parecem com suas primeiras versões, lançadas nos anos 1970. Naquela época, quando
uma empresa era automatizada, as operações eram implementadas separadamente, em “ilhas”, e
seres humanos eram os responsáveis para sincronizar as etapas da produção. Atualmente, os
sistemas supervisórios apresentam funcionalidades complexas, integrando essas “ilhas” e
compondo uma base de dados fundamental para tomadas de decisão. Como consequência
natural, sistemas de ERP das redes corporativas (de Tecnologia da Informação – T.I.) foram
conectadas ao ambiente de automação para o provisionamento e controle da produção.
Apesar da evolução dos sistemas, a Tecnologia de Automação (T.A.) não incorporou controles
de segurança conhecidos na Tecnologia da Informação (T.I.), conferindo vulnerabilidades que,
quando exploradas, podem gerar danos à saúde, ao ambiente e a infraestrutura da planta, além
de interrupções na produção. Na integração das redes de T.A. (Tecnologia de Automação) e
T.I., as plataformas de desenvolvimento também sofreram (e continuam sofrendo) um processo
de migração. Dos antigos sistemas supervisórios desenvolvidos em plataformas operacionais em
sistemas Unix, executados em máquinas específicas como os Digital Vax e Alpha, observa-se a
mudança para sistemas desenvolvidos para plataformas em arquitetura x86 (como Windows
Server e Linux). Esta migração permitiu a redução de custos com infraestrutura e de
desenvolvimento de aplicativos, além de reduzir drasticamente o tempo de desenvolvimento dos
projetos. No entanto, as mudanças fizeram com que as redes de automação passassem a
conviver com novas vulnerabilidades para as quais não foram projetadas para lidar1.
O HACKING ONTEM E HOJE
Nos Primórdios da computação, jovens passavam dias e noites estudando cada bit em busca de
vulnerabilidades e outras falhas pontuais nos programas da época. O sonho de todos eles era
explorar algum sistema de uma empresa famosa, ou de alguma organização do governo, seus
objetivos eram os mais variados, alguns relatam que gostavam da adrenalina, outros de vencer
desafios, alguns apenas buscavam fama e reconhecimento por parte da comunidade, tudo não
passava de aventura e jogos de ego. Com o tempo, os interesses, não só por parte dos jovens
nerds foram mudando, pessoas do mundo corporativo começaram a ver nisso uma enorme
fonte de espionagem e um mercado seleto e lucrativo.
A atividade de hackers e hacktivistas (ativistas que usam-se de meios digitais para praticar
seus atos) do mundo inteiro em sistemas de empresas e governos são divulgados pela
imprensa todos os dias. Estes ataques chamam a atenção principalmente porque mostram
como suas ferramentas de ataque estão cada vez mais poderosas e disponíveis ao público
geral habilitando até pessoas de menor conhecimento a desferir ataques contra seus alvos.
Sites institucionais, bases de usuários e senhas e os famosos “defacements”
(pixaçõespichações) já não parecem ser tão atraentes e os atacantes já perceberam que seus
ataques podem ser bem mais poderosos e destrutivos se realizados contra sistemas
industriais pois possuem uma segurança muito rasa – quando existente – além de terem
consequenciasconsequências muito maiores.
Se imaginarmos que a água que bebemos, a eletricidade que chega às nossas casas, a
sinalização dos transportes de massa (inclusive aéreos), o controle de usinas hidroelétricas e
nucleares, são controlados por sistemas de computação que podem ser potenciais alvos de
hackers, temos um cenário com um risco potencialmente grande. O que aconteceria por
exemplo no caso de uma invasão em sistemas de controle de uma estação de tratamento
de águas responsável pelo controle dos reagentes químicos que são misturados para
purificar a água que a população bebe? E se um ataque hacker fosse capaz de desabilitar,
mesmo que temporariamente, usinas hidroelétricas e nucleares causando blecautes nas
cidades? Todas estas ameaças à infraestrutura crítica são hoje bastante reais.
MALWARE, A ARMA DOS HACKERS
Malware, do termo em inglês “malicious software” – ou software malicioso, é um termo
comum no mundo da segurança da informação porém, porém um pouco confuso para os
demais profissionais. Comumente conhecido e generalizado como Vírus, malware agrupa
todo software ou programa criado com a intenção de abrigar funções para penetrar em
sistemas, quebrar regras de segurança, roubar informações e servir de base para demais
operações ilegais e/ou prejudiciais. O desenvolvimento de Malware moderno é hoje a
principal atividade hacker exercida no mundo pois permite a eles um rápido retorno
financeiro, principalmente através de ataques por um tipo específico de malware, o
Ransomware.
Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um
resgate (normalmente em bitcoins) para que o acesso possa ser restabelecido, caso não
ocorra o pagamento do resgate, arquivos podem ser perdidos e até mesmo expostos na
Internet.
O Ransomware pode se propagar dentro de uma rede de uma infraestrutura crítica de
diferentes formas, dentre elas:
• Através de exploits. Softwares ou scripts projetados para explorar determinada
vulnerabilidade e ganhar execução de código.
• Através de mídias removíveis (Pen Drives, HD Externos) com autorun habilitado,
exploits para o navegador de arquivos, injeção de DLL ou execução deliberada.
• Através de pastas compartilhadas na rede, da mesma forma que as mídias
removíveis.
• Através da comunicação entre servidores de diferentes plantas de automação (OPC,
por exemplo)
• Pelo uso de redes móveis na rede de automação e da comunicação direta com a
internet sem filtros expondo a URLs maliciosas ou arquivos maliciosos.
• Através de anexos em emails e links maliciosos em redes sociais.
Infecções por Ransomware são um dos maiores pesadelos dos gestores de redes industriais.
Além das características destrutivas inerentes ao Ransomware, os mecanismos de
espalhamento normalmente inundam as redes de automação com pacotes de dados
indesejados e afetam gradativamente o tempo de resposta da rede de tempo real, até
paralisá-la por completo. Se comparado a uma rede de T.I., as consequências são muito
piores pois afetam diretamente as operações em sistemas SCADA ao:
• Bloquear o acesso às estações de supervisão e IHMs;
• Criptografar estações de programação SCADA;
• Criptografar bases de dados históricos e bancos de dados de produção;
• Criptografar estções de engenharia;
• Bloquear o acesso a sistemas de utilidades;
• Infectar outras plantas através da rede de automação e VPNs site-to-site;
2017, SURGEM OS PRIMEIROS ATAQUES GLOBAIS POR RANSOMWARE
O dia 12 de maio de 2017 foi marcado por uma série de ataques em escala global, fazendo
uso de versão atualizada do crypto-ransomware WanaCrypt0r. Notícias e relatórios
apontam que organizações públicas e privadas ao redor do mundo foram impactadas.
Os ataques WanaCrypt0r iniciam seu ciclo na organização através de um ataque de
phishing via E-mail, que inclui um link ou documento PDF maliciosos. O ataque de
phishing, obtendo sucesso, resulta na entrega do ransomware WanaCrypt0r na máquina
local e, consequentemente, tenta espalhar-se em larga escala na rede utilizando protocolo
SMB, atacando a vulnerabilidade ‘EternalBlue’ (CVE-2017-0144) em sistemas operacionais
Microsoft. Essa vulnerabilidade foi corrigida pela Microsoft em março de 2017 com o
patch MS17-010.
No Reino Unido, um pesquisador conhecido pelo apelido Malware Tech conseguiu
acidentalmente interromper a propagação do ataque. O pesquisador percebeu que o
programa tentava contatar um endereço de internet incomum
(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), que não estava registrado. Ele gastou o
equivalente a R$35,00 para comprar esse endereço e percebeu que a operação de registro
interrompeu o processo do programa de se propagar 2.
No entanto, o estrago já havia sido feito e as consequências foram desastrosas para
empresas e governos ao redor do globo. Mais de 200.000 organizações em 150 países,
incluindo empresas de distribuição de energia, transportes ferroviários, indústrias
automobilíticas e governos foram afetados.
Como já era previsto, pouco tempo depois dos ataques por WannaCrypt0r, uma nova
geração de ataques ainda mais poderosa ocorreu no dia 27 de Junho de 2017, desta vez
baseado em uma nova geração de Ransomware denominado NotPetya.
O modus operandi do Ransomware NotPetya é basicamente o mesmo do WannaCrypt0r,
porém com uma importante diferença: o WannaCrypt0r criptografava o acesso aos
arquivos enquanto o NotPetya bloqueia completamente o acesso ao computador.
A máquina infectada pelo NotPetya perde imediatamente a capacidade de oferecer acesso
ao Windows. Enquanto o WannaCrypt0r fazia com que hospitais não tivessem acesso a
prontuários de seus pacientes, por exemplo, o NotPetya consegue ocultar o sistema
operacional e impedir a vítima de fazer qualquer uso da máquina3.
Empresas situadas em diversos países também sofreram prejuízos com a onda de ataques.
Na Ucrânia ao tentar realizar um simples saque de dinheiro nos caixas eletrônicos, os
usuários eram saudados com uma mensagem dos hackers requisitando uma quantia
equivalente a 1 mil Reais para conseguir acessar sua conta bancária e realizar operações4.
ESTUDOS DE CASO DE ATAQUES POR RANSOMWARE NO BRASIL
Para ilustrar as consequências de um ataque por Ransomware em infraestruturas críticas,
este estudo apresenta dois casos de ataques em sistemas de controle industriais Brasileiros.
O primeiro ataque ocorreu em uma fábrica de móveis localizada no estado de Goiás, no
centro-oeste do Brasil. Neste caso um tipo de Ransomware denominado cryptoRSA4096-
Ransomware infectou as estações de supervisão SCADA (baseadas no sistema operacional
Windows) e as máquinas de programação da indústria.
Figura 1: Impressão da tela da estação de supervisão SCADA infectada
Este ataque levou a indústria à parada de operação por 15 dias. Com isto a indústria perdeu
os dados de clientes e fornecedores, a folha de pagamento e a supervisão da produção.
Embora o valor do resgate pedido pelos hackers tenha sido relativamente baixo
(aproximadamente U$ 3061,00), a empresa se recusou a pagar, o que gerou um prejuízo de
aproximadamente U$ 100.000,00 por causa da parada na produção e atrasos nas entregas.
O segundo caso de ataque por Ransomware ocorreu em um centro de controle de uma
importante concessionária de energia localizada no sul do Brasil. Neste caso o Ransomware
usado para o ataque foi o CryptoLocker, que infectou máquinas de supervisão (HMIs)
dentro do centro de controle.
Figura 2: Impressão da tela da estação de supervisão (HMI)infectada
O Vetor de infecção foi um Pen drive usado na porta USB da estação de supervisão. O
Ransomware se espalhou através de arquivos compartilhados e pastas mapeadas na rede
infectando outras 3 estações de superviçsõ situadas no mesmo segmento da rede de
automação. A principal consequ~encia foi a perda momentânea da supervisçao e controle
da distribuição de energia.
Os hackers pediram um resgate de U$ 300,00 por máquina infectada (no caso 4 máquinas
foram infectadas), mas a concessionária de energia não pagou o resgate. Nenhuma perda
financeira ocorreu pois o controle foi automaticamente transferido para um segundo centro
de controle que não estava fisicamente conectado ao centro de controle principal. As
máquinas infectadas puderam ser reinstaladas através de backups limpos e atuais.
CONCLUSÃO: O QUE O FUTURO NOS RESERVA?
A análise dos códigos maliciosos do WannaCrypt0r e do NotPetya revela algo em comum:
ambos fizeram uso da mesma vulnerabilidade de segurança denominada EternalBlue. o
Exploit ficou em destaque como parte dos arquivos publicados pelo grupo de hacking
conhecido como Shadow Brokers. O grupo afirmou ter roubado o EternalBlue como parte de
uma série de ferramentas de hacking da Agência de Segurança Nacional dos EUA.
Acredita-se fortemente que a NSA tenha sido a responsável pelo desenvolvimento do
exploit - que é oficialmente conhecido como MS17-010 - ou comprado de outros.
Desde que o ShadowBrokers publicou o EternalBlue online, ele foi utilizado no
desenvolvimento de Malware por grupos hackers. As culminações deste desenvolvimento
foram WannaCrypt0r e o NotPetya5.
Tudo indica que estes ataques globais foram apenas o começo de algo muito pior que vem
por aí. O sucesso dos primeiros ataques certamente incentivará grupos hackers de todo o
mundo a desenvolver Ransomwares cada vez mais poderosos e focados na paralisação de
serviços essenciais em redes de infraestruturas críticas. Assim como o EternalBlue, existem
muitos outros exploits (inclusive os que exploram vulnerabilidades do tipo zero day) que
serão usados por grupos hackers nos próximos ataques.
A tendência é que cada ataque global seja mais poderoso que o anterior, e que utilize de
vulnerabilidades ainda sem patches conhecidos, o que fará com que os ataques não possam
ser parados.
As infraestruturas críticas globais devem imediatamente se proteger aumentando o
investimento em segurança cibernética e aumentando a maturidade de suas defesas de
acordo com as boas práticas dos Frameworks de segurança globais, ou serão vítimas dos
novos e poderosos ataques que surgirão muito em breve.
REFERÊNCIAS BIBLIOGRÁFICAS
[1] Segurança de Automação Industrial e SCADA/ Marcelo Ayres Branquinho ... [et
al.]. 1. ed. - Rio de Janeiro : elsevier, 2014
[2] Ten Sistemas e Redes (No date) Ransomware e o ataque global do dia 12 de maio.
Available: http://www.ten.com.br/ransomware-e-o-ataque-global-do-dia-12-de-maio/
[Acessed August 1st 2017]
[3] Tecnologia IG (No date) Entenda por que o ataque com ransomware NotPetya é
mais grave que o WannaCry. Available: http://tecnologia.ig.com.br/2017-06-
27/ransomware-notpetya-wannacry.html. [Acessed August 1st 2017]
[4] Tecnoblogs Tecnologia e Informações (No date) Vírus Petya atinge Bancos,
Aeroportos Hospitais e até Chernobyl. Available: http://tecnoblogs.com.br/virus-petya-
atinge-bancos-aeroportos-hospitais-e-ate-chernobyl/ [Acessed August 1st 2017]
[5] Wired (No date) WannaCry and Petya are just the beginning. It's going to be an
'ugly few years'. Available: http://www.wired.co.uk/article/whats-next-petya-
ransomware-wannacry [Acessed August 1st 2017]
