Táticas de Roubo de Credenciais por Hacktivistas Pró-Russos em Ambientes OT e ICS

BR Defense Center (By River de Morais e Silva)
ataque

Um grupo hacktivista pró-russo, conhecido como TwoNet, foi identificado atacando uma instalação de tratamento de água durante uma operação de honeypot realizada pelos laboratórios Vedere da Forescout em setembro de 2025. O ataque destacou uma mudança nas táticas de hacktivistas, que estão se afastando da simples desfiguração de sites para intrusões mais sofisticadas em sistemas de tecnologia operacional (OT) e controle industrial (ICS). Os atacantes exploraram a autenticação fraca em uma interface homem-máquina (HMI), utilizando credenciais padrão para obter acesso. Após a invasão, eles realizaram consultas SQL para mapear dados e injetaram JavaScript malicioso, alterando a página de login. Além disso, criaram uma conta separada para realizar ações persistentes, como manipulação de dados e desativação de logs de alarmes. A análise revelou que o ataque foi manual, com IPs associados a entidades sancionadas pela UE, e que houve atividades correlacionadas de grupos aliados, aumentando a escalabilidade da ameaça. Especialistas recomendam medidas de endurecimento, como a eliminação de senhas padrão e a segmentação de redes, para mitigar riscos semelhantes.

Fonte: https://cyberpress.org/credential-theft-3/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
13/10/2025 • Risco: ALTO
ATAQUE

Táticas de Roubo de Credenciais por Hacktivistas Pró-Russos em Ambientes OT e ICS

RESUMO EXECUTIVO
O incidente destaca a necessidade de vigilância e proteção em sistemas OT e ICS, onde a exploração de vulnerabilidades pode levar a consequências severas. A utilização de credenciais padrão e a falta de medidas de segurança adequadas são pontos críticos a serem abordados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a interrupções e recuperação de incidentes.
Operacional
Manipulação de dados críticos e desativação de logs de alarmes.
Setores vulneráveis
['Setores de água e energia, indústrias críticas']

📊 INDICADORES CHAVE

Uso de credenciais padrão ('admin/admin') Indicador
Exploração de CVEs conhecidos para injeção de código Contexto BR
Atividades correlacionadas com IPs de entidades sancionadas Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de credenciais padrão em sistemas OT e ICS.
2 Implementar autenticação forte e remover a exposição direta à internet.
3 Monitorar continuamente atividades anômalas em interfaces HMI e protocolos Modbus.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação dos ataques a sistemas críticos, que podem resultar em interrupções operacionais e danos à reputação.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD e segurança de dados.
Status
investigacao
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).