Com o crescente número de máquinas conectadas, empresas do setor industrial estão expostas a riscos que chegam de diversas formas, inclusive, dentro de arquivos de Excel
Uma “simples” planilha de Excel pode ser usada por criminosos para invadir sistemas de empresas ou indústrias a fim de roubar dados ou sabotar a produção. Embora os riscos envolvendo a execução de macros no Pacote Office já seja velha conhecida dos analistas de segurança, um novo tipo de ataque, direcionado a empresas tem chamado a atenção. Entre eles, o FlushTunnel, nome dado a uma campanha de ataques identificada em maio deste ano pela Kaspersky e divulgada na Conferência Latinoamericana de Segurança, que aconteceu na última semana. O malware chega por e-mail, em conteúdo oculto em planilhas de Excel, e tem potencial para atacar indústrias, governos e a empresas de diversos segmentos.
Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo
O anexo parece ser um documento normal, mas dentro dele há uma solicitação para que sejam habilitadas as macros, que por si só, já permitem uma execução de códigos. Uma vez que o usuário dá a permissão, os atacantes têm como baixar e executar arquivos infectados. Por isso, esse tipo de golpe é tão frequente.
“O uso do Excel como vetor de infecção é bem comum, principalmente, em ataques direcionados. Os arquivos do Office há muitos anos têm a função de macro, que embora não seja uma brecha de segurança, tem sido exaustivamente usada para fins maliciosos”, explica Thiago Marques, analista de segurança da Kaspersky.
O caso do FlushTunnel, no entanto, chamou a atenção da empresa por ser uma campanha direcionada, que teve detecções dentro do ambiente industrial, ou seja, afetou máquinas conectadas à chamada Internet das Coisas (IoT), usando planilhas de Excel. Ele foi descoberto em maio de 2019 e tinha como foco o Oriente Médio. Sua forma de ação mostra que os criminosos tentaram minimizar as chances de detecção da ameaça para enganar o antivírus e passar despercebido. Em geral, as planilhas traziam informações úteis para o dia a dia da empresa, mas algumas eram apenas uma tabela em branco.
Nesse tipo de golpe, é enviado um e-mail falso para um empregado da companhia com temas relacionados ao trabalho para que a vítima baixe e abra o arquivo comprometido. De acordo com a Kaspersky, é assim que chega a maior parte dos ataques direcionados às indústrias: por meio de anexos de e-mails. Mais de 6% dos computadores que estão dentro do ambiente industrial sofreram algum tipo de ataque de phishing em 2018, é um aumento de 3% em relação ao primeiro semestre de 2018, e a América Latina foi a região que mais sofreu esse tipo de ameaça, indica o levantamento da empresa de antivírus.
Outras ameaças comuns nas indústrias são os malwares que tentam roubar dados e a interceptação da ferramenta de acesso remoto usada pela empresa, com objetivo de assumir o controle de suas máquinas. Diferente do que acontece com o já conhecido cybercrime, em que o único objetivo é ganhar dinheiro, os ataques direcionados têm uma motivação mais específica por trás, que pode ir desde o roubo de dados até a sabotagem ou o terrorismo. “É difícil dizer o que o bandido está buscando especificamente, já que, em geral, são usadas ferramentas de captura de informação”, avalia Thiago. “Eles podem querer dados confidenciais para vender a outras empresas, fazer sabotagem, a fim de destruir um determinado produto, ou descobrir a ‘fórmula secreta’ ou os segredos de uma companhia”.
Só a Kaspersky identificou 61 vulnerabilidades que poderiam ser exploradas por criminosos em sistemas industriais conectados à Internet em 2018 — somado às falhas encontradas por outras companhias de segurança, esse número pode ficar muito maior —. Até o final de do ano, apenas 47% haviam sido corrigidas.
Como se proteger
Esse tipo de malware pode chegar também formato bastante factível, como se o remetente fosse um fornecedor de serviços. Com isso, os criminosos aumentam a possibilidade de execução do código malicioso. “Esses ataques não são como os spams de banco, enviados para 200 mil pessoas e, se alguém cair, ótimo. Nos ataques a indústrias, os criminosos fazem uma coleta de informações para entender quem são os fornecedores da empresa e capturam um pouco de dados públicos (ou não) para direcionar o ataque. Eles tentam se ajustar ao alvo”, alerta Thiago.
