Cosa è successo nel 2020

Il 2020 è stato un anno critico per quanto riguarda la sicurezza informatica, con molte aziende che hanno incontrato sfide a causa della pandemia di Covid-19. Le persone hanno cambiato la loro vita, il lavoro e le attività quotidiane in un mondo digitalizzato e molte aziende hanno adottato principi di lavoro a distanza e modificato i loro approcci alla sicurezza informatica. Il 2020 passerà certamente alla storia come l’anno del COVID ma è importante saper vedere le tendenze anche al netto della pandemia. Infatti alcuni trend sono del tutto indipendenti da essa e saranno quelli che influenzeranno maggiormente i prossimi anni di cyber-security.

Il cyber crime ha recentemente aumentato il suo focus su attacchi verso Microsoft Exchange 7 e OWA, come Client Access Server (CAS). Tali ambiti sono un terreno fertile per attività criminose in quanto comunicando con l’esterno su grandi quantità di dati rende più facile agli cyber-criminal il nascondersi nel traffico e nel rumore di fondo. Questi attacchi sono di varia natura, di vario livello di pericolosità ma soprattutto possono essere molto evoluti. Recenti campagne di attacchi hanno coinvolto famiglie di malware di nuova concezione configurate con un’infrastruttura di comando e controllo progettata in modo evoluto e finalizzata ad evadere le difese. Tali capacità ed evasione dei rilevamenti difensivi sottolineano l’importanza sia del Vulnerability Management (VM) continuo e non una-tantum, ma soprattutto anche dell’identificazione e del monitoraggio di attacchi silenziosi/stealth in grado di annidarsi per mesi tra le pieghe informatiche di server ed endpoint, in grado di osservare ed analizzare i dati per individuare quelli più sensibili, infine, dopo aver esfiltrato tutti i dati, in grado di detonare criptando i server ed i backup al solo scopo di dimostrare la loro presenza. Il riscatto, quindi, viene richiesto per non divulgare alle autorità o nel DarkWeb i dati sensibili esfiltrati, quindi per non rovinare la reputazione aziendale.

Cyber attacchi mascherati che rendono difficile il rilevamento

Abbiamo assistito alla crescita di attacchi ransomware complessi e mirati durante il 2020. Settori industriali e dei servizi, compresi i governi locali e le organizzazioni sanitarie, sono stati pesantemente colpiti da questi attacchi. I criminali informatici hanno dedicato molto tempo alla raccolta dei dati di intelligence delle loro vittime, aumentando gli attacchi ransomware. Le minacce ransomware sono state così dannose che l’FBI ha ammorbidito la sua posizione passata sul pagamento dei pagamenti comunicando che le aziende potrebbero dover valutare le alternative al fine di riottenere i propri dati.

Gli attori delle minacce informatiche collegano spesso tecniche ad-hoc con tecniche standard di attacco, di evasione delle difese, di movimento laterale, di permanenza invisibile e stealth dentro le reti attaccate. Ciò rende sempre più difficile il rilevamento degli stessi. Gli attori del cyber-crime sono sempre più organizzati in gruppi organizzati e strutturati come vere e proprie aziende: ognuno ha il suo compito al fine di compromettere le supply-chain delle loro vittime. I fornitori di servizi gestiti e i fornitori di software (ad esempio i fornitori dei gestionali aziendali che periodicamente devono connettersi da remoto per piccoli aggiornamenti o modifiche) vengono presi di mira così come la loro connettività diretta con i loro clienti, appunto le PMI italiane.

La maggiore connessione ha conseguenze rilevanti

Man mano che aumenta l’esposizione dei sistemi più critici per la maggiore connettività (ad esempio il 5G, i sistemi IoT, ecc.) i criminali informatici aumentano le loro opportunità di attacco. Sempre più aziende utilizzano dispositivi privi di patch e non testati, che sono facili obiettivi. I dispositivi cloud e connessi a Internet sono molto più diffusi. Le minacce per la tecnologia operativa (OT) sono ancora poco usate ma presto diventeranno una criticità aziendale importante. Oggi è difficile valutare il rischio rappresentato da ogni dispositivo, con notevoli differenze nei test di sicurezza dei dispositivi IoT tra produttori piccoli e locali e grandi produttori. Il 2020 ha visto un aumento del numero di vulnerabilità OT segnalate da ricercatori (fonte: Accenture) che sono stati affrontati dai fornitori con le patch. Ma i patch sono spesso creati solo a fronte di attacchi andati a segno e che hanno rivelato i bug presenti nei dispositivi.

Sfruttamento dello Smart-Working e

Per rallentare i tassi di infezione e proteggere la propria forza lavoro, le aziende in tutto il mondo hanno adottato lo Smart-Working. I dipendenti da remoto si affidano a router Wi-Fi domestici e VPN per connettersi all’infrastruttura aziendale, spesso obsolete o con configurazioni errate, combinate con un approccio più scialbo causato dal lavoro da casa. Ciò aumenta il rischio di perdita o furto di informazioni aziendali sensibili. Un aumento dello Smart-Working significa che aziende e persone sono maggiormente esposte agli attacchi informatici. Per proteggersi da queste vulnerabilità e rischi le aziende dovrebbero:

  1. Garantire che i dipendenti siano pienamente consapevoli della protezione delle procedure di prevenzione.

  2. Informare i dipendenti sulle migliori pratiche della rete domestica, compreso l’uso di router con password non predefinite, occultamento della trasmissione SSID e la configurazione di provider DNS affidabili.

  3. Assicurarsi che i dipendenti capiscano come configurare e connettersi ai provider VPN aziendali ed evitare lo split tunneling. Meglio se si sostituiscono le obsolete tecnologie di VPN con più moderne e sicure piattaforme di Remote Access.

  4. Assicurarsi che i computer e i dispositivi utilizzati dai dipendenti siano aggiornati con le versioni di sistema e applicazione più recenti (cyber-posture e cyber-hygiene).

L’email è il principale vettore di aggressione utilizzato dai criminali che hanno usato diversi metodi alternativi e evoluti per rubare dati sensibili. Progressivamente, i criminali hanno iniziato a utilizzare attacchi di phishing su SMS che attaccano i cellulari o l’utilizzo di social media.

Vulnerabilità VPN

L’accesso remoto dei dipendenti alle reti aziendali ha causato un aumento del traffico VPN. Per far fronte all’aumento dei costi di larghezza di banda, la configurazione VPN più utilizzata dalla maggior parte delle organizzazioni spesso è una configurazione “split-tunnel”. In questa configurazione, un client VPN collega un utente a un’organizzazione solo per le risorse di cui ha bisogno da quella azienda e collegherà l’utente direttamente a Internet. Questa configurazione consente di risparmiare molto di larghezza di banda porta con sè anche una diminuzione della sicurezza.

Obiettivo? La continuità aziendale

Hacker sofisticati, inclusi attori potenzialmente sponsorizzati da stati, come BELUGASTURGEON, prendono di mira Microsoft Exchange e Outlook Web Access (OWA) e li utilizzano come file “teste di ponte” per nascondere il traffico, trasmettere comandi, compromettere la posta elettronica, esfiltrare dati e raccogliere le credenziali per lo spionaggio.

Attori del moderno cyber-crime hanno apparentemente sviluppato tecniche per nascondere il traffico malevolo, manipolare i firewall locali e inviare tramite proxy il traffico su porte non standard utilizzando comandi, strumenti e funzioni nativi. Alcune osservazioni al riguardo: • Nuovi e sofisticati criminali stanno sfruttando piattaforme come Microsoft Exchange (Exchange), Outlook Web Access (OWA) e Outlook sul Web per condurre attività dannose. Poiché i sistemi e i servizi rivolti al Web comunicano tipicamente esternamente, con alta volumi di dati come parte delle loro operazioni quotidiane: i criminali informatici trovano facile nascondere qui le loro attività, uscita all’interno del rumore di fondo. Poiché i componenti di Exchange e OWA forniscono servizi di autenticazione, gli aggressori possono anche scoprire i mezzi per condurre la raccolta delle credenziali. Gli attacchi contro queste piattaforme variano da essere semplici fino a estremamente sofisticati.

Compromettere l’ecosistema di Exchange offre agli hacker diversi vantaggi quando lo si utilizza come testa di ponte all’interno di un ambiente vittima, nonché una serie di applicazioni e interfacce integrate utilizzabili a scopi dannosi. Oltre a prendere di mira i server di Exchange, diversi attacchi hanno preso di mira la piattaforma Windows Internet Information Services (IIS) che supporta Outlook Web Access (OWA). Con malware, come OWAAUTH / LuckyOWA e versioni di China Chopper Web shell si riesce a permettere agli amministratori di implementare funzionalità aggiuntive a IIS, oltre a quelle abilitate nativamente, prendere la forma di file DLL di Windows distribuiti su tali server, quindi riuscire ad eseguire funzionalità sono di grande valore per i malintenzionati. In particolare, la capacità di gestire le richieste di autenticazione, servire file arbitrari o eseguire elaborazioni in risposta a determinate richieste può essere utile per ottenere l’accesso non autorizzato a un sistema.

I cyber criminali evolvono le tecniche per sfruttare le vulnerabilità

Man mano che le aziende migliorano la sicurezza informatica e l’architettura di rete, gli attaccanti si evolvono verso nuove tecniche per evadere le difese (defense evasion techniques) e quindi effettuare movimenti laterali interni (lateral movement) scalando i privilegi di amministratore. Anche reti segmentate sono oggi eluse e bypassate dagli attacchi sofisticati in quanto ciò è condizione necessaria per mantenere un accesso persistente a lungo termine alla rete aziendale vittima. Negli ultimi mesi sono sempre più frequenti casi in cui si è visto i criminali modificare le regole di firewall locali utilizzando il comando nativo “netsh” di Windows. L’attore della minaccia ha utilizzato queste modifiche per eseguire principalmente Remote Desktop Protocol (RDP) e Secure Sockets Layer (SSL) su porte non standard. Ciò ha consentito agli intrusi di aggirare il monitoraggio della rete. Gli attaccanti hanno scelto porte come la TCP 53 (zona DNS trasferimenti e comunicazione database) e porta TCP 1433 (Microsoft SQL) per proxy, che in genere supportano i tipi di servizi consentiti attraverso firewall di confine o tra reti altrimenti segmentate. Ciò dimostra che, ad esempio nell’applicazione del framework ZERO TRUST, è preferibile adottare un approccio data-centric (incentrato sui dati) e non network-centric (incentrato sulla rete).

I cyber-attacchi mascherati rendono complesso il rilevamento

Gruppi criminali, come SNAKE MACKEREL che opera dalla Russia, conducono scansioni di massa e phishing diffuso per cercare di sfruttare la debolezza di dipendenti maldestri o frettolosi che permettono un facile accesso all’endpoint e quindi alla rete aziendale. Accesso iniziale e successivo spostamento laterale interno alla rete è, infatti, spesso ancora causato dai dipendenti e dalla compromissione sulla supply-chain. Ciò implica una elevata, evoluta e innovativa capacità del cyber-crime nel saper mascherare il malware e abusare delle credenziali per superare le difese (sia perimetrali che interne).

Gli attori sofisticati sponsorizzati dallo stato e criminali continuano a utilizzare frequentemente strumenti di PT – Penetration Test per intrusioni complesse: • Si osserva più frequentemente gli strumenti Cobalt Strike, PowerShell Empire, Metasploit e Mimikatz. • Gli attori delle minacce informatiche collegano abitualmente gli strumenti standard con tecniche ad-hoc, complicando il rilevamento.

Grande aumento dello spionaggio informatico

Negli attacchi che fanno uso di strumenti standard/opensource e non ad-hoc si ritrova il grande vantaggio degli stati canaglia che spesso siedono dietro gli attacchi e li sponsorizzano di poter negare la loro paternità dell’operazione. Negli ultimi mesi osservatori accreditati hanno rilevato attività sospette sponsorizzate usano fortemente da una combinazione di strumenti standard, infrastruttura di hosting condivisa e codice di exploit sviluppato pubblicamente. Ad esempio, gli operatori di malware Lucifer hanno utilizzato CertUtil per scaricare strumenti malware. Questi gruppi criminali, spesso sponsorizzati da stati, utilizzano strumenti opensource a una velocità e una scala senza precedenti: le aziende devono utilizzare strumenti in grado di tener testa a questa velocità evolutiva delle minacce.

Movimenti laterali nei ransomware

Ryuk, Maze, REvil e Doppelpaymer hanno fatto uso ampio uso di strumenti standard Cobalt Strike e Mimikatz66. Il cyber-crime tipicamente utilizzano questi strumenti su infezioni da Trickbot / Emotet per sfruttare vulnerabilità note nei sistemi con connessione a Internet e brute-force RDP. Il fine rimane quello del furto di credenziali e il movimento laterale. Proprietà comune dei ransomware recenti ed evoluti è di avere un ampio spettro di possibilità riguardo il lasso temporale in cui rimangono silenti e nascosti in modalità stealth: da alcuni giorni fino a diversi mesi. Ad esempio si è osservato che Cobalt Strike e Bloodhound vengono usati insieme con funzioni native per consentire l’implementazione di una variante di Ryuk solo due ore dopo l’infezione iniziale di Trickbot67. In ogni caso gli attori criminali possono impiegare molto più tempo per i movimenti laterali in ambienti meno permissivi, spesso mesi. Le aziende lungimiranti utilizzano strumenti in grado di impedire i movimenti laterali (ad esempio usando sistemi PAM – Privileged Access Management oppure l’innovativa soluzione israeliana ad approccio ZERO TRUSTZTNASafe-t).

Il target della supply-chain

Gli attori delle minacce informatiche continuano a concentrare i tentativi di compromissione contro le supply-chain delle aziende. Ciò dimostra che la attack surface (#attacksurface) si è ampliata parecchio negli ultimi anni, allargata dall’incremento di device utilizzati, di device IoT e delle opportunità di attacco ai sistemi OT, dai 5G, ecc. La maggior parte degli attacchi visti hanno comunque dimostrato la loro natura “verticale” contro i fornitori di servizi gestiti e dei fornitori di software. Il cyber-crime utilizza tecniche come il “island hopping” che permettono di compromettere le piccole imprese (PMI) per ottenere l’accesso anche ai loro partner più grandi, quindi per aggirare le difese perimetrali in vari settori industriali tra cui meccanico – automobilistico e medicale, ma anche distretti specifici e geograficamente localizzati come quello ceramico.

I ransomware sono tra i business più redditizi e scalabili

Oltre a trovare nuovi modi per infettare le aziende con il ransomware, il cyber-crime sta trovando nuovi modi per motivare le vittime a pagare. Ricordiamo il ceppo rivoluzionario di ransomware Maze che ha infettato una grande azienda per rubarne i dati per poi informare i media e distribuire pubblicamente i 700 MB di dati sensibili esfiltrati. Questo tipo di attacco finalizzato al riscatto per salvare la reputazione aziendale e chiamato “Name & Shame” sta diventando molto popolare in quanto crea danni incredibili alle vittime. Nel 2020 il riscatto medio è salito a 180.000 dollari, con un aumento del 60% in 12 mesi.

La situazione sta peggiorando a causa della attuale grande quantità di dipendenti che lavorano da remoto. I ransomware più avanzati approfittano delle maggiori vulnerabilità presenti nel lavoro a distanza: prime tra tutte la presenza di VPN o i dipendenti che si collegano da remoto con device con bassa cyber-hygiene.

Negli ultimi mesi chi crea ed utilizza i ransomware sta creando un nuovo modello di business molto redditizio e scalabile. Oltre a trovare continuamente nuovi modi per infettare le aziende con il ransomware, parallelamente stanno esfiltrando i dati dall’azienda, trasformando così gli attacchi di ransomware in violazioni dei dati. Questi dati, spesso sensibili, vengono utilizzati per estorcere la vittima, a volte attraverso canali pubblici, come i mezzi di informazione, trasformando quello che era un potenziale costoso processo di recupero da ransomware in un problema a lungo termine, che coinvolge importanti danni alla reputazione del marchio, ma anche salate multe da parte delle autorità. Gruppi come Maze, Sodinokibi e DoppelPaymer sono i pionieri di questo modello, imitati da unna pletora di bande minori che comunque è in grado di arrecare grande danno. Questo approccio innclude la creazione di sitiweb “Name & Shame” dove anche le vittime sono citate e quindi incentivate a pagare il riscatto. Questo sito si chiama “Maze News” e all’inizio conteneva solo poche vittime ma ben descritte: nome dell’azienda, sitoweb dell’azienda, data dell’infezione, quantità di informazioni sulla società o sul personale prelevato, un elenco di indirizzi IP “bloccati” e almeno un file contenente i dati della vittima rubata disponibile per il download da parte di chiunque come prova del furto. Con il lancio di questo sito, Maze non ha più dovuto contattare i media, come faceva prima, per fare pressione sulle nuove vittime perché paghino. In un poche settimane, il sito conteneva 27 vittime attive; in un paio di mesi, sono arrivate a 40. Se una vittima paga il riscatto, viene rimossa dall’elenco. Hanno aggiunto una sezione “nuove vittime” in modo che, con l’aumento dei numeri, i visitatori possano facilmente vedere chi sono le ultime vittime e una sezione “archiviato”, dove caricano tutti i dati delle vittime rubate di aziende che hanno rifiutato di collaborare, dimostrando le loro minacce sono reali. Pubblicano periodicamente comunicati stampa alla loro home page, che usano per definire termini e condizioni, o per raccontare racconti individuali su vittime non conformi per aggiungere ulteriore pressione su di loro. Gli analisti di Accenture prevedono che nel 2021 queste tipologie di attacco potranno aumentare.

Furto di dati per aumentare le stress sulle vittime

Il cyber-crime utilizza ransomware preesistenti applicando nuove tattiche e incorporando l’uso di nuovi ceppi di ransomware. Ci sono aziende specializzate solo nella creazione di ransomware, altre focalizzate solo nella loro commercializzazione, ed infine una pletora di attori che li compra per tentare la fortuna attaccando PMI e grandi aziende. Alcuni di questi gruppi produttori di malware, come ad esempio DHARMA, si focalizzano su uno stato specifico come l’Italia e ne sfruttano le vulnerabilità peculiari (ad esempio la gestione fiscale e tributaria non sempre legale) delle aziende per creare minacce specifiche. Maze ha catturato i titoli dei giornali quando partendo dal ransomware Sodinokibi (noto anche come REvil) ha addizionato tattiche, tecniche e procedure di estorsione (TTP). In una prima fase ha minacciato le vittime con forum sul Dark Web che forniscono collegamenti a dati rubati, poi ha lanciato il proprio sito name&shame “Happy Blog”, ospitato su Rete TOR. Qui, oltre a fornire collegamenti per scaricare i dati rubati, Sodinokibi ha pubblicato screenshot di file, documenti, database e dati sensibili come ulteriore prova. Coinvolgendo direttamente partner commerciali o clienti dell’azienda vittima, Sodinokibi aumenta la pressione sulla vittima affinché paghi il riscatto. Altre tattiche di estorsione impiegate da Sodinokibi hanno incluso la possibilità di notificare a mercati finanziari (NASDAQ) e autorità nazionali (Polizia, garante GDPR) le violazioni fatte alla vittima.

Nel 2020 i creatori di DoppelPaymer hanno creato “Dopple Leaks” su TOR, promuovendolo su Twitter. Sia Sodinokibi e DoppelPaymer sono stati responsabili di alcune violazioni di alto profilo, spesso chiedendo riscatti multimilionari. Sempre nel 2020 il ransomware LockBit non ha creato un sitoweeb ma ha inviato alle vittime le richieste di riscatto in cui si affermava: “Inoltre, scarichiamo un’enorme quantità di dati privati, incluse informazioni finanziarie, informazioni personali dei clienti, password e così via. Non dimenticare il GDPR. ”

Questo avviso sul GDPR ricorda alle vittime che le infezioni da ransomware sono ora diventando violazioni dei dati, il che significa che non solo le vittime affrontano la prospettiva di un processo di recupero lungo e costoso se non pagano il riscatto, ma ci sono anche conseguenze legali se la violazione non viene segnalata tempestivamente alle autorità competenti.

 

Pagare il riscatto Pro:

  1. Potenziale per un rapido ripristino di dati e servizi

  2. Potrebbe essere almeno parzialmente coperto da una polizza assicurativa informatica

Contro:

  1. Nessuna garanzia che i criminali ti aiuteranno a decrittografare i tuoi dati

  2. Finanzia operazioni criminali

  3. White-list delle organizzazioni che pagano per essere nuovamente attaccati

Non pagare il riscatto Pro:

  1. Scoraggia ulteriori attacchi

  2. Opportunità per un nuovo inizio – implementare nuove strategie di sicurezza informatica e capacità di disaster recovery

Contro:

  1. Lunghi e costosi processi di recupero di dati

  2. Perdite subite e danni di reputazione per esposizione mediatica e perdita di servizio

 


Il peggio deve ancora venire

Il sistema criminale che si sviluppa sulla filiera di: 1) creare ransomware, 2) commercializzarli sia come prodotto che come servizio MaaS (Malware as a service), 3) che li utilizzano contro le aziende, hanno incrementato notevolmente i loro guadagni già da prima del COVID-19. A loro si sono aggiunte organizzazioni criminali che creano dei tunnel informatici dentro le reti aziendali, li mantengono aperti ma invisibili ai normali sistemai di difesa ed infine affittano tali tunnel ad attori criminali che si occupano del vero e proprio attacco, esfiltrazione di dati e riscatto.

Il vettore di attacco ransomware più comune continua a essere ancora scarsamente protetto. Remote Desktop Protocol (RDP) sono stati aumentato dal fatto che c’è stato un marcato aumento degli endpoint RDP esposti a causa dell’impennata del necessità di lavoro a distanza. Inoltre, gli le minacce ransomware stanno ora prendendo di mira le vulnerabilità nelle reti private virtuali (VPN) e altri strumenti di lavoro remoto. In particolare Sodinokibi ha infettato le vittime sfruttando Pulse.

Il mondo mobile è rimasto relativamente trascurato dal ransomware fino a poco tempo fa. Recentemente una famiglia di malware chiamata “Black Rose Lucy”, che originariamente era un botnet MaaS, ha sviluppato funzionalità di ransomware, crittografando file su un dispositivo infetto e che mostra una richiesta di riscatto. Il crimine informatico sta facendo passi da gigante nel prendere di mira i cellulari e il furto di dati e l’estorsione non sono scenari lontani.

La connettività ha un impatto sulla sicurezza

Ci sono dispositivi IoT legati sia alla produzione che agli uffici sparsi ovunque sulla rete aziendale: la stampante dell’ufficio, le telecamere di sorveglianza, il router senza fili, i sensori di produzione, ecc. ognuno di questi ha un rischio associato. Purtroppo il modus operanti comune dei produttori fino ad oggi è stato di concentrarsi su far funzionare le nuove tecnologie prima di renderle sicure. Ora le aziende stanno pagando il prezzo di questo basso focus sulla cyber security IoT.

Le tecnologie basate sul Web vengono sempre più utilizzate per la gestione di dispositivi e il Web moderno è uno spazio incredibilmente complesso. È difficile proteggere adeguatamente queste interfacce e gli aggressori trovano costantemente nuove tecniche di attacco. Stiamo entrando in un’era in cui vengono esposti sempre più sistemi critici a Internet. Una maggiore connettività può aggiungere usabilità, ma crea anche superficie di attacco aggiuntiva (#attacksurface) che deve essere protetta.

Virtualizzazione OT

La virtualizzazione è da anni comunemente utilizzata nell’IT ma è entrata nel mondo OT solo di recente. La virtualizzazione nello spazio OT consente l’implementazione rapida dei sistemi, dell’utilizzo ottimizzato delle risorse, ridondanza e ripristino più rapido in caso di disaster recovery.

La connettività cloud per i sistemi OT sta aumentando, ad esempio le attività di “Supervisory Control And Data Acquisition” – SCADA sono spostate nel cloud. Infatti, tali attività possono beneficiare della scalabilità del cloud, consentendo maggiore flessibilità, ridondanza e disponibilità. Nonostante i vantaggi del passaggio al cloud, lo spostamento delle applicazioni fuori sede può aumentare la superficie di attacco (#attacksurface) per un attaccante. Ad esempio, per le applicazioni SCADA, i rischi maggiori sono le vulnerabilità delle applicazioni Web che potrebbero essere più facilmente “bucate” rispetto all’hosting in loco.

Anche la crescente tendenza dei dispositivi OT e ICS ad essere connessi a Internet, insieme all’aumento del numero stesso di device presenti (un esempio è la crescita della misurazione intelligente nei sistemi ICS) crea maggiore superficie d’attacco per i malintenzionati.

I trend delle vulnerabilità

Accenture ha eseguito un’analisi degli avvisi di vulnerabilità elencati dal Cyber Emergency Response Team (ICSCERT) dei sistemi di controllo industriale degli Stati Uniti. Questi avvisi riguardano informazioni sull’attuale stato di sicurezza, vulnerabilità e exploit delle tecnologie ICS. L’analisi ha mostrato che il numero di vulnerabilità scoperte nel 2020 è aumentato del 30% rispetto il 2019. Inoltre, il numero di vulnerabilità con un punteggio CVE (Common Vulnerabilities and Exposures) alto è maggiore delle pari livello dell’anno precedente. Ci sono molti fattori che possono causare un aumento del numero di vulnerabilità scoperto nei sistemi ICS. L’introduzione di nuove tecnologie aumenta la superficie di attacco di questi sistemi, potenzialmente introducendo vulnerabilità. Vecchie tecnologie, che prima erano difficili da attaccare, sono ora connesse a Internet e cloud, esponendo vulnerabilità che erano sempre presenti, ma ancora da scoprire o non raggiungibili. L’analisi mostra che gli attacchi basati sulla memoria come i “buffer overflow” continuano a figurare nelle prime cinque vulnerabilità più comuni.

Targetizzati i dispositivi IoT e OT

Nello spazio OT, negli ultimi anni, l’industria ha osservato diverse famiglie di malware con la capacità di mirare specificamente tecnologie ICS, tra cui Stuxnet, Havex, BlackEnergy, CRASHOVERRIDE e Triton. Nel 2020, SentinelOne ha osservato una nuova famiglia di ransomware nota come Snake o Ekans, utilizzato in un attacco contro il Bahrain Compagnia petrolifera (BAPCO). Un altro ransomware, Golang Programmed, prima di crittografare qualsiasi dato tenta di disabilitare un elenco di eseguibili, con focus su quelli relativi ai sistemi di controllo industriale. Disabilitando questo server, un utente malintenzionato può creare una perdita di controllo dei dispositivi fisici. Infine, sempre nel 2020 si è visto un attacco a Fresenius Medical Care, il più grande fornitore di ospedali d’Europa, con sede in Germania.

Conclusioni

I trend degli attacchi informatici in Italia ed Europa sono palesemente in aumento sia per numero di attacchi che per danni provocati. La piattaforma di cyber-security che protegge “da tutto” ed al 100% non è ancora stata sviluppata, quindi il miglior consiglio che diamo ai nostri clienti per i quali siamo responsabili della business continuity è quello di affidarsi solo ad approcci e framework di sicurezza informatica riconosciuti come affidabili ed innovativi. E’ importante implementare soluzioni moderne e sovrapposte tra loro, appunto diversi layer di sicurezza, che rendano difficile o quasi impossibile per un attacco automatizzato oppure per un hacker poter arrivare ai dati aziendali. Queste soluzioni iniziano dal proteggere i “classici punti di ingresso” dei ransomware: gli endpoint. La tecnologia Deceptive – ad inganno – è certamente quella più appropriata per difendere gli endpoint dai malware moderni, evoluti e non-noti. Ma aiuta anche a difendersi dal “dipendente maldestro” che clicca su qualsiasi cosa senza pensarci.

Successivamente è importante difendere la rete, sempre con approccio Zero Trust, con strumenti di gestione degli accessi PAM (Privileged Access Management) e/o di protezione dei dati sensibili. ZoneZero di Safe-T è la prima piattaforma di gestione degli accessi che implementa una nuova soluzione SDP, migliora la tua infrastruttura VPN esistente in ZTNA o aggiungere MFA a qualsiasi VPN, servizio e applicazione. L’insieme di poche ma intelligenti soluzioni che lavora in sinergia per difendere la tua rete e dati aziendali è la scelta migliore per la tua cyber sicurezza.