As operações no Porto de Nagoya, no Japão, são retomadas, após provável ataque de ransomware LockBit
7 de julho de 2023O porto de Nagoya, o maior e mais movimentado porto do Japão, foi alvo de ransomware, afetando as operações do terminal de contêineres.
O porto movimenta mais de dois milhões de contêineres e 165 milhões de toneladas de carga anualmente, incluindo operações da Toyota Motor Corporation para exportação de automóveis. O operador portuário disse na quarta-feira que suspeita de um ataque cibernético.
A Kyodo News informou em 6 de julho de 2023 que os movimentos de contêineres no porto de carga mais movimentado do Japão foram totalmente reiniciados na noite de quinta-feira, disse uma associação portuária de Nagoya, depois que um ataque de hackers da Rússia em seu sistema de computador causou interrupções por dois dias e meio.
O porto de Nagoya havia planejado inicialmente retomar as operações na manhã de quinta-feira. Citando a Associação de Transporte do Porto de Nagoya, a Kyodo disse que o trabalho de reparo no sistema de computador infectado com o vírus demorou mais do que o planejado.
O grupo de hackers, LockBit 3.0, exigiu um resgate para devolver o controle do sistema, segundo a associação.
A associação disse que não entrou em contato com o LockBit 3.0 nem pagou nenhum resgate.
Na quarta-feira, a Kyodo disse que um grupo de hackers com sede na Rússia atacou o porto de Nagoya. “O grupo, LockBit 3.0, fez um pedido de resgate em troca da recuperação do sistema, disse a Associação de Transporte do Porto de Nagoya, enquanto a polícia iniciou uma investigação”, acrescentou.
Uma mensagem indicando que o sistema do computador foi infectado com ransomware foi de alguma forma enviada para uma impressora, disse uma fonte familiarizada com o caso.
“Hoje, a autoridade administrativa do Porto de Nagoya emitiu um aviso sobre um mau funcionamento no ‘Nagoya Port Unified Terminal System’ (NUTS) – o sistema central que controla todos os terminais de contêineres no porto”, informou a Bleeping Computer na quarta- feira. “De acordo com o aviso, o problema foi causado por um ataque de ransomware ocorrido em 4 de julho de 2023, por volta das 06h30, horário local.”
“Ao investigar a causa, realizamos uma reunião com o Comitê Terminal da Associação de Operações Portuárias de Nagoya, que opera o sistema, e a Sede da Polícia da Província de Aichi [e] foi descoberto que o problema era uma infecção por ransomware”. — Porto de Nagoya (traduzido automaticamente)
A autoridade portuária está trabalhando para restaurar o sistema NUTS até as 18h de hoje e planeja retomar as operações às 08h30 de amanhã. Até então, todas as operações de carga e descarga de contêineres nos terminais com reboques foram canceladas, causando enormes prejuízos financeiros ao porto e graves interrupções na circulação de mercadorias de e para o Japão.
Nikkei informou que “A partir do meio-dia, o porto no centro do Japão permanecia incapaz de carregar e descarregar contêineres de reboques. A polícia iniciou uma investigação, dizendo que a operadora recebeu um pedido de resgate em troca da recuperação de seu sistema.”
A falha no sistema ocorreu na manhã de terça-feira, quando um funcionário não conseguiu iniciar um computador, de acordo com a Autoridade Portuária de Nagoya, de acordo com o relatório do Nikkei. “Uma mensagem indicando que o sistema do computador foi infectado com ransomware foi de alguma forma enviada para uma impressora, disse uma fonte familiarizada com o caso.”
A Toyota disse que não pode carregar ou descarregar peças de automóveis devido à falha. Mas a empresa acrescentou que não houve interrupção em sua produção até agora, e a logística dos veículos acabados permanece inalterada porque é gerenciada por um sistema de computador diferente.
“Monitoraremos de perto qualquer impacto na produção enquanto examinamos cuidadosamente o estoque de peças”, disse a Toyota. Seus fornecedores, incluindo Denso Corp., Aisin Corp. e Toyota Industries Corp., também garantiram uma certa quantidade de estoque e terão apenas uma exposição limitada a falhas do sistema.
Ron Fabela, CTO de campo da XONA Systems , disse anteriormente que os portos e as operações marítimas têm atributos exclusivos atraentes para as ameaças – pegada global, alta frequência de contato e um impacto amplificado de perda tornam um ataque cibernético uma consideração crítica. “Durante o ataque NotPetya em 2017, o mundo aprendeu que os portos não precisam ser especificamente direcionados para serem muito impactados. A Maersk reportou perdas de até 300 milhões de dólares. Para sistemas de controle industrial, especificamente portos e marítimos, os eventos de ransomware drive-by continuarão à medida que avançamos para 2023”, acrescentou.
“O impacto dos ataques cibernéticos nos portos tem um efeito downstream em inúmeras infraestruturas críticas e modos de vida das pessoas”, de acordo com Fabela. “Os resultados da pandemia nos portos provaram ainda mais como a degradação prolongada da capacidade pode ter consequências de longo alcance; os ataques cibernéticos serão semelhantes, mas com mais incógnitas e maior velocidade. À medida que as ameaças cibernéticas se tornam mais bem informadas sobre as operações industriais, os portos podem ser vistos como um alvo lucrativo, portanto, preparação, planejamento e visibilidade serão componentes-chave para programas saudáveis de defesa cibernética”.
Mike Hamilton, CISO da Critical Insight, disse que, como agência específica do setor para portos marítimos, a Guarda Costeira provavelmente exigirá avaliações cibernéticas como parte do Plano de Segurança de Instalações (FSP) semestral que sempre foi exigido. “Ele disse que a lei de sistemas de água rural de segurança cibernética de 2023 parece estar tentando cobrir a lacuna fiscal criada pelos novos mandatos da EPA para realizar uma avaliação de segurança cibernética como parte de sua pesquisa sanitária periódica, semelhante à exigência de que os portos marítimos devem fazer uma avaliação semelhante como parte do FSP”, acrescentou.
Craig Jones, vice-presidente de operações de segurança da Ontinue, escreveu em um comunicado por e-mail que o incidente no porto de Nagoya destaca as sérias vulnerabilidades que a infraestrutura crítica enfrenta na era digital. “Os ataques de ransomware são uma preocupação crescente para empresas privadas e entidades públicas, e este caso ressalta o potencial de interrupção significativa de serviços essenciais e cadeias de suprimentos. Está claro que tais ataques não apenas representam riscos de segurança, mas também podem ter impactos econômicos consideráveis”, acrescentou.
Jones acrescentou que o incidente serve como um lembrete da importância das medidas de segurança cibernética para infraestrutura crítica, principalmente nos setores de logística e transporte . “É essencial que as organizações continuem priorizando o investimento em defesas de segurança cibernética, treinamento e planos de resposta. Além disso, a cooperação internacional para combater esses crimes cibernéticos é de extrema importância. É uma questão significativa que precisa de atenção e esforço coletivos.”
“Os ataques de ransomware têm um efeito de longo alcance, principalmente quando o alvo é uma parte importante da cadeia de suprimentos global. A última vítima é o porto de Nagoya, no Japão, que lida com uma grande quantidade de comércio do Japão”, escreveu Joseph Carson, cientista-chefe de segurança e CISO consultor da Delinea, em um comunicado por e-mail. “Embora o relatório recente da Verizon DBIR mostre que os incidentes de ransomware se mantiveram estáveis no ano passado, eles são devastadores para as vítimas quando ocorrem. Esperançosamente, as melhores práticas de segurança cibernética estão em vigor para resiliência, e o Porto de Nagoya se recuperará rapidamente sem ter que negociar com os cibercriminosos.”
As organizações geralmente se tornam vítimas de crimes cibernéticos e ransomware se os segredos não forem gerenciados corretamente e protegidos com soluções, como soluções de gerenciamento de acesso privilegiado (PAM), de acordo com Carson.
“Essas soluções ajudam a proteger segredos e aumentar a segurança, armazenando-os em um cofre seguro e aplicando controles de segurança adicionais, como autenticação multifator (MFA), fluxos de trabalho de acesso, gerenciamento e gravação de sessão, rotação automatizada de chaves e análise e auditoria de comportamento de privilégio. ”
Darren Guccione, CEO e cofundador da Keeper Security, disse que especialistas do setor e agências governamentais aconselham as organizações a não pagar em um ataque de ransomware, no entanto, é uma decisão difícil porque a organização corre o risco de perder informações confidenciais, acesso a arquivos críticos e o toda a infraestrutura de rede de que precisam para operar seus negócios.
“Infelizmente, para algumas organizações e seus clientes, os invasores podem estar retendo informações pessoais confidenciais, e pagar o resgate não é garantia de que as informações não serão vendidas de qualquer maneira. Juntamente com o ônus financeiro imediato, a recuperação de uma perda dessa natureza pode ser demorada e levar a danos de reputação e operacionais”, destacou Guccione. “As organizações também precisam considerar as implicações legais de pagar o resgate e o custo de evitar novos ataques agora que os malfeitores sabem que estão dispostos a pagar. O método mais econômico para lidar com um ataque cibernético é investir na prevenção com uma arquitetura de segurança cibernética de confiança zero e conhecimento zero que limitará, se não impedir totalmente, o acesso de um agente mal-intencionado.”
James McQuiggan, defensor da conscientização de segurança da KnowBe4, disse que a ameaça persistente e em evolução dos ataques de ransomware enfatiza a necessidade contínua de as organizações implementarem uma abordagem proativa e abrangente para a segurança cibernética. “À medida que as organizações aumentam a interconectividade de sistemas críticos e as possíveis implicações das interrupções, fica claro que confiar apenas em medidas reativas não é mais suficiente. As empresas e os governos devem ficar à frente dos cibercriminosos, investindo em tecnologias avançadas de detecção de ameaças, avaliando regularmente as vulnerabilidades e promovendo uma sólida cultura de cibersegurança em suas organizações”, acrescentou.
A Comissão Solarium do Ciberespaço divulgou um relatório sobre ataques cibernéticos direcionados ao sistema de transporte marítimo (MTS) e recomendou o Congresso dos EUA a melhorar a segurança cibernética dos recursos. O relatório pede mais recursos para a Guarda Costeira, um banco de testes de OT (tecnologia operacional) e participação em programas de subsídios para mitigar o risco cibernético do MTS. Também exige educação em segurança cibernética e programas de força de trabalho.
Em maio, o Comitê de Segurança Interna da Câmara dos EUA realizou uma audiência na semana passada sobre vulnerabilidades de segurança portuária, na qual os membros destacaram as ameaças de alto risco impostas aos portos marítimos dos EUA por criminosos cibernéticos e seus adversários. Na audiência, o Subcomitê ouviu depoimentos da Guarda Costeira dos EUA, da Agência de Segurança Cibernética e de Infraestrutura (CISA) e da Administração de Segurança de Transporte (TSA). Antes disso, o comitê buscou respostas do Departamento de Segurança Interna (DHS) sobre as ameaças à segurança cibernética impostas a operações comerciais, militares e industriais por guindastes fabricados na China operando em portos marítimos dos EUA.
Na esteira dos crescentes níveis de ameaça ao setor marítimo, o governo do Reino Unido lançou no ano passado a Estratégia Nacional de Segurança Marítima, que aprimora as capacidades em tecnologia, inovação e segurança cibernética. Entre outros objetivos, a estratégia de cinco anos busca apoiar o setor marítimo a ser resiliente contra ataques cibernéticos e outras ameaças, com foco na construção de sistemas e redes resilientes para proteção de dados.
Fonte: Industrialcyber
Texto de Anna Ribeiro: Editor de notícias cibernéticas industriais. Anna Ribeiro é jornalista freelancer com mais de 14 anos de experiência nas áreas de segurança, armazenamento de dados, virtualização e IoT.
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.