A S21sec, um dos principais fornecedores europeus de cibersegurança, analisou a ciberactividade da indústria automóvel ao longo de 2022, identificando um aumento considerável de incidentes de diferentes naturezas.
A maioria dos ciberataques detectados teve como vector inicial de entrada a exploração de uma vulnerabilidade na infra-estrutura das organizações, mas também foram identificados ataques de ransomware, vendas de acessos, vendas de bases de dados e data breaches.
Sobre este tema, os especialistas alertam que nos próximos meses a actividade criminosa vai crescer contra as empresas deste sector.
A indústria automóvel está constantemente a implementar as tecnologias mais avançadas com o objectivo de automatizar e racionalizar todos os processos industriais e também incorporar as mais recentes características nos seus produtos.
No entanto, a automatização também traz novos riscos no campo da cibersegurança que estas empresas devem ter em conta tanto sobre o IT como sobre o OT refere Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.
Ransomware, uma ameaça iminente
O Ransomware, um tipo de ataque cujo objectivo é obter acesso a um ou mais computadores para encriptar a informação de um alvo, seja um utilizador ou uma organização, e exigir um resgate em troca da sua devolução, posicionou-se como uma das principais ameaças que a indústria automóvel pode enfrentar.
Até Setembro deste ano, registaram-se 41 ataques de ransomware contra organizações deste sector, destacando-se o mês de Março pelo elevado número de incidentes.
Os grupos de ransomware que mais visaram este sector foram o grupo Lockbit, com 10 ataques contra empresas automóveis e o grupo Conti, com 8. Independentemente do sector, estes dois grupos estiveram entre os mais activos durante 2022; embora seja possível que nos próximos meses a tendência mude, uma vez que o grupo Conti cessou a sua actividade após a publicação do seu código-fonte.
Este tipo de ataques evoluiu para técnicas de dupla e tripla extorsão. Num duplo ataque de extorsão, os cibercriminosos além de encriptarem os dados, ameaçam a vítima de publicar ou vender a informação que encriptaram. No caso de extorsão tripla, além de ameaçarem a vítima de publicar os dados roubados, o atacante pressiona com ataques de DDoS à infra-estrutura tecnológica da vítima.
Vender de informação sensível na Deep Web
A S21sec também identificou um aumento na venda de acessos iniciais em fóruns na Deep Web pelos chamados IABs (Initial Access Brokers). Estes são responsáveis pela obtenção de diferentes tipos de acesso às organizações (tais como credenciais de acesso a equipamentos, acesso VPN ou RDP) através da utilização de diferentes tácticas e técnicas, que depois vendem em vários fóruns ‘underground’ ou a afiliados de grupos Ransomware. Durante o período analisado, foram encontradas 24 vendas de acessos iniciais a empresas do setor automóvel em diferentes fóruns underground como Exploit, RAMP ou XSS.
Além disso, foi verificado que várias bases de dados de empresas da indústria automóvel foram comprometidas. Esta informação privada constitui um dos pilares fundamentais sobre os quais é mantido o modelo de negócio deste tipo de organizações, uma vez que está relacionada com os produtos e serviços que oferecem e lhes permite diferenciarem-se da concorrência, armazenando informação confidencial sobre planos futuros, os clientes, colaboradores, fornecedores, etc.
Se quer ler notícias como esta, subscreva gratuitamente a newsletter da Security Magazine..
