Recentemente, foi identificada uma nova ameaça cibernética denominada “FrostyGoop”, direcionada especificamente a sistemas de Controle Industrial (ICS). Esse malware de ICS destaca a crescente sofisticação das ameaças contra infraestruturas críticas, especialmente em setores que dependem de Tecnologia Operacional (OT).
Características e Impactos do malware de ICS “FrostyGoop”
O malware “FrostyGoop” é a mais recente ameaça direcionada especificamente a sistemas de Controle Industrial (ICS). Descoberto pela Dragos em abril de 2024, o FrostyGoop utiliza o protocolo Modbus TCP, amplamente utilizado em tecnologias operacionais (OT), para interagir diretamente com sistemas ICS. Este malware é o nono do tipo específico para ICS e o primeiro a usar comunicações Modbus TCP para impactar as tecnologias operacionais.
O FrostyGoop é notável por sua capacidade de evasão e persistência. O malware utiliza técnicas avançadas para evitar a detecção por sistemas de segurança convencionais. Ele pode manipular dados e comandos dentro dos sistemas ICS, o que pode levar a falhas operacionais graves ou mesmo danos físicos aos equipamentos. O relatório da Dragos sobre o FrostyGoop detalha como o malware pode ser especialmente perigoso para sistemas que controlam processos industriais críticos.
A análise da Dragos também revela que o FrostyGoop é capaz de se disfarçar como software legítimo, o que facilita sua infiltração em redes OT. Uma vez inserido, o malware pode manipular dados e comandos, potencialmente causando danos físicos ou operacionais significativos. A sofisticação deste ataque sublinha a necessidade de uma abordagem robusta de segurança cibernética.
Um dos casos mais notáveis envolvendo o FrostyGoop ocorreu na Ucrânia, onde um ataque cibernético resultou na perda de aquecimento para os clientes de uma empresa de energia distrital por dois dias. A Dragos identificou com confiança moderada que o FrostyGoop foi usado para atacar controladores ENCO, explorando a vulnerabilidade do TCP porta 502, aberta para a internet.
Reforço na Necessidade de Visibilidade e Monitoramento
A ampla utilização de dispositivos Modbus em setores industriais globalmente sublinha a necessidade urgente de visibilidade nas redes ICS e de monitoramento de tráfego Modbus TCP. É crucial detectar e sinalizar desvios do comportamento normal e identificar padrões de ataque e comportamentos que exploram o protocolo Modbus TCP. Desenvolver detecções a partir da mais recente inteligência de ameaças sobre vulnerabilidades, vetores de ataque e malware que direciona sistemas Modbus é essencial.
Para proteger contra ameaças como o FrostyGoop, as empresas devem adotar uma abordagem de segurança cibernética integrada. As recomendações incluem o Monitoramento Contínuo, implementando soluções que permitam a detecção em tempo real de atividades suspeitas. Isso é crucial para identificar e mitigar ameaças antes que causem danos significativos.
A segmentação das redes de TI e OT para limitar o movimento lateral de malware dentro de uma organização também se demonstra essencial. Isso ajuda a proteger os sistemas OT de ameaças que podem se originar na rede de TI, como é o caso da nova ameaça. Além disso, é fundamental treinar funcionários para reconhecer sinais de comprometimento e seguir práticas seguras, fortalecendo a primeira linha de defesa contra ataques, e utilizar tecnologias de firewall e detecção de intrusões específicas para ambientes industriais, que são mais eficazes contra ameaças direcionadas a OT.
Controles de Segurança Críticos
O SANS Institute, uma organização dedicada a capacitar profissionais de segurança cibernética e reconhecido mundialmente, já tem até mesmo a possível solução para o pmalware de ICS, com os 5 Controles Críticos para Cibersegurança de Classe Mundial. Esses controles, orientados para resultados, foram escolhidos com base na análise de compromissos e ataques recentes em empresas industriais globais, destacando a importância de uma adaptação ao ambiente específico de cada organização:
- Resposta a Incidentes em ICS: Um plano robusto de resposta a incidentes é crucial, especialmente para ataques direcionados a OT. Para a Munio Security, isso inclui procedimentos para isolar rapidamente dispositivos afetados e analisar o tráfego de rede para comandos Modbus não autorizados.
- Arquitetura Defensiva: Implementar uma arquitetura defensiva que priorize a segmentação de ativos de rede, incluindo zonas desmilitarizadas industriais (DMZs) e controles de acesso estritos entre redes de TI e OT.
- Visibilidade e Monitoramento de Redes ICS: Monitoramento contínuo do tráfego da rede OT é essencial para detectar e responder a anomalias e comportamentos de ameaça, utilizando ferramentas que detectam padrões incomuns nos tráfegos.
- Acesso Remoto Seguro: Proteções rigorosas de acesso remoto, como autenticação multifator (MFA) e o uso de redes privadas virtuais (VPNs) para criptografar dados em trânsito, como os recomendados pelo nosso serviço de OT Zero Trust, são fundamentais.
- Gestão de Vulnerabilidades Baseada em Riscos: Avaliações regulares de vulnerabilidades para identificar e abordar pontos fracos que adversários possam explorar, com controles compensatórios quando patches não forem viáveis.
A Munio Security, especializada em proteger infraestruturas críticas, oferece serviços que alinham as melhores práticas de segurança cibernética às necessidades específicas dos sistemas de OT e são apoiados por frameworks de segurança, como NERC CIP, ISA/IEC 62443 e NIST, que fornecem uma visão ampla da segurança de sistemas industriais. Adotamos as mais recentes tecnologias e estratégias para garantir que os sistemas estejam protegidos contra ameaças emergentes, como o FrostyGoop.
O surgimento desta nova ameaça destaca a crescente sofisticação dos ataques cibernéticos direcionados a infraestruturas críticas. Empresas devem adotar medidas proativas para proteger seus sistemas ICS e garantir a continuidade operacional frente a essas novas ameaças. A Munio Security está preparada para ajudar as empresas a enfrentar esses desafios, oferecendo soluções avançadas de cibersegurança adaptadas às necessidades específicas de sistemas industriais.