Pendrives continuam a ser um vetor de ataque importante

No ano passado, o uso de pendrives em organizações industriais cresceu 30%. Os ciberatacantes perceberam esta tendência e rapidamente duplicaram o número de ameaças desenhadas para serem implantadas a partir desses dispositivos, 79% das quais podem afetar instalações e máquinas. Estas são as principais conclusões de um estudo recente publicado por um especialista da indústria.

A pandemia como causa

O relatório apontou a pandemia como a razão para o aumento destes riscos. O trabalho remoto também pressionou a cibersegurança das organizações, como já tivemos oportunidade de referir noutras ocasiões, mas existem diferenças em relação às empresas do setor de serviços: muitos sistemas de "Tecnologia Operacional" (OT) (ou seja, maquinaria e instalações industriais) são estanques, o que significa que a sua rede é isolada da conectividade à Internet ou a outras redes consideradas inseguras. Isto tem feito com que os funcionários que trabalham em casa recorram com muito mais frequência a pendrives externos para armazenar os seus dados e levá-los para casa para trabalharem remotamente.

Os hackers perceberam isto e, portanto, de todos os malwares detetados, 76% consistiam em Trojans com recursos de controlo remoto. Além disso, também observaram mudanças nas técnicas usadas em comparação com outros anos: um elevado nível de malware apareceu em documentos infetados (principalmente Excel), que continham código malicioso embutido em scripts e macros.

Tendências preocupantes

Todas estas tendências destacadas no relatório são preocupantes por diversos motivos:

Desde logo, porque algumas das organizações com instalações industriais são consideradas infraestruturas críticas: providenciam serviços essenciais à sociedade, tais como energia elétrica ou abastecimento de água, e a interrupção das suas operações pode ser consequências diretas para a população.

Em segundo lugar, porque sabemos que alguns dos mais danosos ciberataques a unidades industriais do passado envolveram pendrives, tais como o famoso Stuxnet, que paralisou as operações de uma usina nuclear no Irão, quando um funcionário, recrutado como espião por uma agência de inteligência, introduziu a malware através de uma porta USB na rede da fábrica.

E por último, porque o malware via pendrives, que estava em decréscimo há alguns anos, voltou a crescer devido à pandemia. Embora o seu uso seja cada vez mais esporádico à medida que estes dispositivos estão a ser substituídos por armazenamento na cloud, em organizações industriais as pendrives USB continuaram a ser prevalentes, devido às características “estanques” deste tipo de instalações.

Políticas de utilização e proteção endpoint completa

O primeiro passo para minimizar o risco de ameaças é ter uma política rígida com diretrizes para o uso de pendrives na organização. Estas práticas devem incluir o equipamento industrial ao qual podem ser conectadas, definir níveis de função e permissões com base em perfis de funcionários, usar apenas dispositivos fornecidos e verificados pela equipa de TI ou MSP da organização, e que só podem ser usados em portáteis fornecidos pela empresa e protegidos.

No entanto, estas diretrizes podem não ser suficientes perante ameaças perigosas: se as instalações são uma infraestrutura crítica, podem ser um alvo para grupos APT vinculados a algum estado, que usam ferramentas altamente sofisticadas e malware capazes de contornar as defesas. Neste contexto, as organizações precisam de ter a segurança de endpoint mais avançada possível e uma visibilidade total sobre as suas atividades, incluindo a conectividade USB.

As soluções WatchGuard Endpoint Security (agora disponíveis na WatchGuard Cloud) respondem a estas necessidades: o seu Zero-Trust Application Service incluído nas soluções WatchGuard EDR e WatchGuard EPDR, começa por classificar os processos como malware ou de confiança, e depois permite que apenas processos legítimos sejam executados em cada endpoint. Isto reduz significativamente as hipóteses de algum malware dentro de uma pendrive conseguir entrar numa máquina sem ser detetado. Desta forma, os cibercriminosos têm muito menos chances de sucesso quando apontam baterias a uma unidade fabril.