As principais agências de cibersegurança e inteligência dos Estados Unidos, incluindo o FBI e a NSA, lançaram um aviso urgente sobre a possibilidade de ciberataques perpetrados por hackers afiliados ao Irão, visando diretamente as infraestruturas críticas do país. A agência CISA (Cybersecurity and Infrastructure Security Agency) sublinha que, embora não existam indícios de uma campanha ativa e coordenada, a atual instabilidade no Médio Oriente justifica uma vigilância reforçada.
Num comunicado conjunto, as agências detalham que a ameaça é particularmente elevada para certas organizações. O alerta destaca a vulnerabilidade de empresas do setor da defesa com ligações a Israel, mas o raio de ação dos atacantes é mais vasto.
Setores da defesa, energia e saúde são os alvos prioritários
Ainda que as companhias da Base Industrial de Defesa (DIB) que colaboram com entidades de defesa e investigação israelitas sejam consideradas de alto risco, o alerta estende-se a outros setores vitais. Organizações nas áreas da energia, gestão de águas e cuidados de saúde são também vistas como alvos potenciais para estes grupos de hackers.
A preocupação baseia-se num padrão de ataques anteriores associados ao Irão, que demonstra uma estratégia clara e métodos de ataque bem definidos.
Técnicas de ataque: de vulnerabilidades a ransomware e hacktivismo
Os atores de ameaça iranianos são conhecidos por explorar falhas de segurança óbvias, como sistemas por atualizar ou a utilização de palavras-passe predefinidas de fábrica para conseguir acesso inicial. Esta tática foi visível no ataque a uma instalação de tratamento de águas na Pensilvânia em novembro de 2023, onde os atacantes comprometeram controladores lógicos programáveis (PLCs) da marca Unitronics que estavam expostos online.
Além da exploração de vulnerabilidades, estes grupos atuam frequentemente como hacktivistas, conduzindo ataques de negação de serviço (DDoS) para sobrecarregar e indisponibilizar websites, ou desfigurando páginas com mensagens de cariz político. As suas ações são muitas vezes promovidas em plataformas como o X (antigo Twitter) e o Telegram.
Foi também observada a utilização de ransomware e a colaboração com grupos de cibercriminosos russos, como o NoEscape, Ransomhouse e ALPHV (também conhecido como BlackCat). Muitos destes ataques focaram-se em empresas israelitas, resultando na encriptação de sistemas e na fuga de dados roubados. Em cenários mais destrutivos, os atacantes optaram por utilizar data wipers (software de eliminação de dados) em vez de ransomware, com o objetivo de causar o máximo de dano possível às organizações visadas.
Como proteger a sua organização: as recomendações oficiais
Para mitigar os riscos, a CISA, o DoD, o FBI e a NSA recomendam veementemente que as organizações adotem um conjunto de boas práticas de segurança:
Isolar os sistemas de tecnologia operacional (OT) e de controlo industrial (ICS) da internet pública e restringir qualquer acesso remoto.
Utilizar palavras-passe fortes e únicas para todas as contas e sistemas online, alterando imediatamente todas as credenciais predefinidas.
Ativar a autenticação multifator (MFA) em sistemas críticos e plataformas de autenticação.
- Instalar todas as atualizações de software, com especial atenção aos sistemas expostos à internet, para corrigir vulnerabilidades conhecidas.
- Monitorizar continuamente as redes e servidores para detetar atividades anormais ou suspeitas.
- Desenvolver e testar planos de resposta a incidentes para garantir que as cópias de segurança e os planos de recuperação estão funcionais.
Para informação mais detalhada, as organizações podem consultar as páginas oficiais da Visão Geral da Ameaça Iraniana da CISA e do FBI sobre a Ameaça Iraniana.
Nenhum comentário
Seja o primeiro!