A S21sec analisou a indústria automóvel e chegou à conclusão de que os hackers demonstram cada vez mais interesse na automatização desta indústria, tendo as empresas automóvel sido um dos principais alvos dos ciberataques.
Além disso a indústria demonstrou um grau de vulnerabilidade a ciberataques elevado, o que tem vindo a facilitar o trabalho dos hackers. Até setembro de 2022 foram registados, no total, 41 ataques de ransomware contra organizações do setor, assim como casos de venda de acesso inicial e bases de dados na Deep Web.
Hackers têm conseguido realizar vários ataques bem sucedidos à indústria automóvel
O setor automóvel sempre foi tido em conta, ao longo da história, como sendo uma indústria de grande importância e em constante crescimento. Ao movimentar quantidades grandes de dinheiro, os hackers começaram a ganhar um maior interesse neste setor.
Esta componente económica, associada à aplicação da inovação tecnológica (veículos conectados, veículos autónomos, etc.), coloca tanto as empresas como as entidades do setor na mira de agentes maliciosos e hackers.
A S21sec, um dos principais fornecedores europeus de cibersegurança, analisou em pormenor a ciberatividade da indústria automóvel ao longo de 2022, identificando um aumento considerável de incidentes de diferentes naturezas. A maioria dos ciberataques detetados tiveram como vetor inicial de entrada a exploração de uma vulnerabilidade na infraestrutura das organizações, mas também foram identificados ataques de ransomware, vendas de acessos, vendas de bases de dados e data breaches.
Os especialistas alertam que nos próximos meses deve de existir um aumento da atividade criminosa contra as empresas do setor automóvel por parte de hackers de todos os cantos do mundo.
“A indústria automóvel está constantemente a implementar as tecnologias mais avançadas com o objetivo de automatizar e racionalizar todos os processos industriais e também incorporar as mais recentes características nos seus produtos. No entanto, a automatização também traz consigo novos riscos no campo da cibersegurança que estas empresas devem ter em conta tanto sobre o IT como sobre o OT”
Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal
Ransomware é uma ameaça iminente
Com o objetivo de obter acesso a um ou mais computadores para encriptar a informação de um determinado alvo, seja um utilizador ou uma organização, para posteriormente exigir um resgate em troca da devolução do acesso à informação obtida, o ransomware posicionou-se como uma das principais ameaças que a indústria automóvel pode enfrentar por parte dos hackers.
Até setembro de 2022 a S21sec revela que foram registados 41 ataques deste género contra organizações deste setor, com especial destaque para o mês de março que teve o número mais elevado de incidentes.
Os grupos de ransomware (formados por diversos hackers) que mais visaram este setor foram o grupo Lockbit, com 10 ataques contra empresas automóveis e o grupo Conti, com 8. Independentemente do setor, estes dois grupos estiveram entre os mais ativos durante 2022; embora seja possível que nos próximos meses a tendência mude, uma vez que o grupo Conti cessou a sua atividade após a publicação do seu código-fonte.
Este tipo de ataques evoluiu para técnicas de dupla e tripla extorsão. Num duplo ataque de extorsão, os hackers para além de encriptar os dados, ameaçam a vítima de publicar ou vender a informação que encriptaram. No caso de extorsão tripla, para além de ameaçar a vítima de publicar os dados roubados, o atacante pressiona com ataques de DDoS à infraestrutura tecnológica da vítima.
Informação sensível é vendida na Deep Web
A S21sec conseguiu ainda identificar um aumento na venda de acessos iniciais em fóruns na Deep Web pelo chamados IABs (Initial Access Brokers). Estes hackers são responsáveis pela obtenção de diversos tipos de acesso às organizações através da utilização de diferentes táticas e técnicas, que depois vendem em diferentes fóruns underground ou então a afiliados de grupos ransomware.
Durante o período analisado pelos especialistas, foram encontradas 24 vendas de acessos iniciais a empresas do setor automóvel em diferentes fóruns underground como Exploit, RAMP ou XSS.
Além disso, foi verificado que várias bases de dados de empresas da indústria automóvel foram comprometidas. Esta informação privada constitui um dos pilares fundamentais sobre os quais é mantido o modelo de negócio deste tipo de organizações, uma vez que está relacionada com os produtos e serviços que oferecem e lhes permite diferenciarem-se da concorrência, armazenando informação confidencial sobre planos futuros, os clientes, colaboradores, fornecedores, etc.
Durante este ano, a S21sec identificou já 8 vendas de bases de dados internas de diferentes empresas relacionadas com o mundo automóvel em fóruns e em mercados da Deep Web, como o Exchange Market.
“O roubo de dados e posterior aquisição de informação confidencial por terceiros fora da empresa pode causar uma grave crise na mesma e até levar à sua falência. A maioria deste tipo de vendas ocorre principalmente quando os cibercriminosos obtêm acesso às infraestruturas da empresa, quer através de ataques de engenharia social, exploração de vulnerabilidades ou através de agentes infiltrados, pessoal da empresa que fornece informações aos atacantes em troca de uma recompensa, geralmente financeira, embora possam também ser vítimas de extorsão”
Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal
Recomendações para as empresas por parte da S21sec
A empresa especialista em cibersegurança, S21sec, deixou várias recomendações para as empresas da indústria automóvel se precaverem contra possíveis ataques de hackers.
As dicas deixadas pela S21sec servem principalmente para o setor automóvel, mas podem também ser aplicadas a outras indústrias para lá das que se dedicam ao fabrico e venda de veículos.
- Sensibilizar a equipa para as questões de cibersegurança e estar atento a ameaças internas. O fator humano é, na maioria dos casos, o que facilita a maior parte das ocorrências dos ciber-incidentes;
- Não utilizar o email corporativo para se registar em sites fora da entidade e prestar atenção aos e-mails/sms/whatsapp enviados por pessoas desconhecidas, etc.
- Implementar fortes políticas de cibersegurança nas empresas, monitorizando todos os comportamentos e atividades executadas dentro e fora da organização que coloquem em risco o negócio.
- Auditar regularmente toda a infraestrutura tecnológica da organização, não esquecendo a componente OT.
- Manter sistemas operativos, antivírus e programas de deteção, entre outros, constantemente atualizados e implementar, o mais rapidamente possível, todos os patches de segurança publicados por diferentes empresas para corrigir as vulnerabilidades de segurança dos sistemas.
