RATS, bots e phishing por proxy reverso: por que os cibercriminosos têm o setor de transporte marítimo na mira

O risco cibernético é visto por muitos como uma realidade inevitável, mas, durante muito tempo, o relativo isolamento do setor de transporte marítimo em relação às ameaças foi sua maior vantagem. Os baixos volumes de tráfego de baixa largura de banda faziam com que o transporte marítimo representasse um alvo em movimento de valor relativamente baixo.

O advento de serviços LEO de alta capacidade e baixa latência, juntamente com a conectividade VSAT e 4/5G, trouxe o transporte marítimo para o centro da digitalização. O nível de ameaça aumentou em consequência, assim como a necessidade de regulamentação que contribua de alguma forma para gerenciar o risco.

Até agora, tais regras têm sido uma abordagem fragmentada, mas estão se tornando cada vez mais integradas à medida que orientações legais, sistemas voluntários e padrões do setor são complementados pela regulamentação da União Europeia, que prevê multas punitivas em caso de não conformidade.

O aumento da atuação dos reguladores é oportuno, já que as ameaças dos cibercriminosos continuam a aumentar, crescendo em volume e sofisticação.

O mais recente relatório global sobre ameaças cibernéticas marítimas, produzido pelo Centro de Operações de Segurança (SOC) da Marlink, demonstra as táticas em constante mudança dos criminosos cibernéticos, que estão cada vez mais tentando contornar controles de segurança anteriormente eficazes usando novas ferramentas.

O SOC marítimo exclusivo da Marlink monitorou ativamente mais de 1.800 embarcações no primeiro semestre de 2024, e os dados mostram que as atividades maliciosas nesse período aumentaram significativamente em comparação com o ano anterior.

Analistas observaram um aumento contínuo de ameaças comuns, como ataques de Comando e Controle (C&C), juntamente com a evolução dos ataques de botnets, que estão crescendo em número e complexidade.

O phishing continua a ser a principal tática usada por invasores para obter acesso a redes corporativas, embora o SOC também tenha detectado um aumento no tráfego malicioso na lista negra. Isso destaca a importância de manter feeds de inteligência de ameaças atualizados e aplicar políticas de segurança rigorosas para impedir conexões não autorizadas a sites de alto risco.

O aumento da visibilidade dos eventos por meio de soluções de proteção de endpoints (EDR), firewalls e segurança de e-mail, juntamente com o contexto fornecido pelos recursos de inteligência, permitiu que os analistas do SOC obtivessem uma visão mais profunda do cenário de ameaças em evolução.

Atores maliciosos estão evoluindo seus padrões de ataque e lançando campanhas fraudulentas que contornam controles de segurança anteriormente eficazes, como a autenticação de dois fatores, forçando os defensores a reagir e elevar o nível de segurança para garantir que as operações sejam protegidas.

Durante o primeiro semestre de 2024, uma parcela significativa das ameaças neutralizadas pelo SOC continuou a seguir o vetor de ataque mais comum observado desde 2022: o phishing. No entanto, nesse período, houve um aumento notável de uma forma mais avançada conhecida como “phishing de proxy reverso”.

O phishing é um método clássico de ataque cibernético em que os invasores se passam por entidades legítimas (como bancos ou prestadores de serviços) para induzir os usuários a fornecer informações confidenciais, como credenciais de login ou dados financeiros. O phishing tradicional geralmente depende de sites falsos ou e-mails fraudulentos para capturar dados do usuário.

O “phishing de proxy reverso”, por outro lado, é uma versão mais sofisticada. Em vez de simplesmente criar um site falso, o invasor configura um “proxy” que fica entre o site legítimo e a vítima. Esse proxy captura as credenciais do usuário e, em tempo real, as encaminha para o site real, fazendo com que a vítima sinta que tudo está normal. O perigo desse método reside no fato de que ele pode contornar a autenticação multifatorial (MFA), comumente usada para proteger sistemas sensíveis.

O phishing por proxy reverso abre as portas para graves ameaças à segurança cibernética, como sistemas C&C, botnets e trojans de acesso remoto (RATs). Uma vez que os invasores obtêm acesso a uma rede, eles podem implantar uma infraestrutura C&C para controlar remotamente os sistemas comprometidos. Isso poderia permitir a criação de botnets — grandes redes de dispositivos infectados usados para atividades maliciosas, como ataques de negação de serviço distribuída (DDoS).

Dados do SOC da Marlink sugerem uma sofisticação crescente das ameaças cibernéticas direcionadas às operações de embarcações, ultrapassando os limites das medidas de segurança existentes e exigindo uma abordagem proativa das empresas marítimas.

Para o setor marítimo, esses ataques podem impactar significativamente as operações, desde a interrupção da logística de transporte até a manipulação de sistemas de comunicação confidenciais. Atrasos, perda de reputação e recuperações onerosas são apenas alguns dos possíveis resultados.

Em resposta, o SOC da Marlink busca aprimorar suas capacidades de monitoramento com maior uso de detecção de ameaças em tempo real, análise comportamental impulsionada por IA, inteligência de ameaças e soluções de MFA mais robustas.

A evolução do panorama de ameaças nos primeiros seis meses de 2024 continuou a surpreender. É claro que mesmo os operadores de embarcações que já agiram contra ameaças cibernéticas devem considerar isso um processo contínuo. Concentrando-se na combinação de pessoas, procedimentos e precauções, essas empresas podem proteger melhor a si mesmas e às partes interessadas, garantindo operações mais seguras e resilientes.