Novo Malware Ameaça Processos Críticos de Engenharia em Sistemas de Controle Industrial

A Forescout Research identificou uma ameaça crescente direcionada a estações de trabalho de engenharia em tecnologia operacional (OT) e sistemas de controle industrial (ICS).

A análise, divulgada na terça-feira, destaca como o malware que tem como alvo essas estações de trabalho é cada vez mais comum.

A pesquisa se concentrou em malwares encontrados no VirusTotal, que incluiu incidentes envolvendo a estação de trabalho de engenharia da Mitsubishi infectada com o worm Ramnit, bem como um novo malware experimental conhecido como Chaya_003, que interrompe os processos de engenharia da Siemens.

Malwares específicos para OT, embora menos prevalentes do que ataques a softwares empresariais ou sistemas operacionais móveis, são uma preocupação significativa para os operadores de segurança em ambientes industriais.

As estações de trabalho de engenharia, que desempenham um papel central no controle e monitoramento da infraestrutura crítica, são alvos principais para esses tipos de ataques. Um relatório do Instituto SANS identificou o comprometimento da estação de trabalho de engenharia como um vetor de ataque líder, responsável por mais de 20% dos incidentes do sistema OT.

A análise da Forescout concentrou-se em malwares que visam estações de trabalho de engenharia, que executam tanto sistemas operacionais tradicionais como o Windows quanto softwares de engenharia especializados, como Siemens TIA Portal e Mitsubishi GX Works.

A pesquisa identificou dois principais agrupamentos de malware direcionados a essas estações de trabalho. Em um caso, os executáveis do Mitsubishi GX Works foram infectados com o worm Ramnit em duas ocorrências separadas. O segundo envolveu três amostras de uma nova variante de malware, Chaya_003, que foi projetada especificamente para encerrar os processos de engenharia da Siemens.

Ramnit, uma cepa de malware inicialmente conhecida por visar credenciais bancárias, evoluiu para uma plataforma mais sofisticada capaz de infectar sistemas OT. As descobertas recentes da Forescout mostram que o Ramnit continua sendo uma ameaça persistente para as redes OT.

O malware pode se espalhar através de dispositivos físicos comprometidos, como pen drives, ou sistemas de rede mal protegidos. Embora o vetor específico dessas infecções ainda não esteja claro, é evidente que o malware continua afetando ambientes OT.

Chaya_003, por outro lado, representa uma ameaça nova e em evolução. A principal funcionalidade do malware inclui o término de processos de engenharia críticos. Seu design sugere tentativas deliberadas de se disfarçar como processos legítimos do sistema para evitar a detecção por softwares de segurança.

A Forescout afirma que o malware é entregue através de uma infraestrutura de comando e controle (C2) que depende de serviços legítimos como os webhooks do Discord, tornando-o mais difícil de detectar.

A pesquisa enfatiza a importância de proteger as estações de trabalho de engenharia para prevenir esses tipos de ataques. As recomendações incluem atualizar regularmente o software, implementar uma proteção robusta de endpoint e segmentar redes para limitar o acesso a sistemas críticos.

O crescente sofisticação desses ataques, impulsionada pela disponibilidade de ferramentas de IA gerativas, destaca a necessidade de medidas de segurança proativas no setor de OT.

A pesquisa da Forescout também alerta que, à medida que os malwares voltados para processos de engenharia se tornam mais acessíveis, a linha entre atacantes menos habilidosos e mais avançados continua a se confundir, tornando mais difícil distinguir entre ameaças simples e altamente sofisticadas.