Come spiega Chen Fradkin, Data Scientist del team di ricerca di Claroty – società specializzata in soluzioni di sicurezza volte a proteggere i sistemi cyber-fisici in ambienti industriali (OT), sanitari (IoMT) e aziendali (IoT) –, nonostante il numero di attacchi di alto profilo sia leggermente diminuito nella seconda metà del 2021, l’impatto di questi attacchi è rimasto sempre lo stesso.
Con le risorse cyber-fisiche altamente connesse, le misure di sicurezza per i dispositivi industriali, sanitari e aziendali critici sono ormai imprescindibili. In un recente rapporto, Claroty ha rilevato che il 34% delle vulnerabilità divulgate nella seconda metà del 2021 erano tra i sistemi cyber-fisici nell’Internet of Things (IoT), nell’information technology (IT) e nell’Internet of Medical Things (IoMT), confermando la necessità di misure di sicurezza che comprendano l’intero Extended Internet of Things (XIoT), non solo la tecnologia operativa (OT).
Ecco, di seguito, un elenco dei malware da tenere monitorati.
Tardigrade Malware
Diffusosi in diversi impianti di bioproduzione, il malware Tardigrade è stato responsabile di almeno due attacchi, in aprile e ottobre dello scorso anno, al settore sanitario.
Grazie a questo malware, i cyber criminali sono riusciti ad entrare in possesso di informazioni aziendali sensibili e diffonderlo all’interno della rete. Tardigrade è un “mutaforma”, in grado di cambiare proprietà in base al diverso ambiente in cui si trova, rendendo così più difficile prevenirlo e proteggersi.
I ricercatori di BioBright hanno confrontato il malware Tardigrade con Smoke Loader e, nello specifico, hanno riscontrato che è dotato delle stesse funzionalità di un trojan, ovvero una volta installato su una rete vittima cerca le password memorizzate, distribuisce un keylogger, inizia a esfiltrare i dati e stabilisce una backdoor per gli aggressori.
In risposta a questi attacchi, le aziende sanitarie a rischio hanno iniziato a scansionare le loro reti di bioproduzione alla ricerca dei potenziali segni di un attacco. In un avviso pubblicato dal Bioeconomy Information Sharing and Analysis Center (BIO-ISAC), l’organizzazione no profit che inizialmente ha pubblicato la ricerca su Tardigrade, si raccomanda di trattare le reti come se fossero già stata compromesse e di rivedere le misure di sicurezza informatica, adeguandole alle necessità.
Log4j
Log4Shell è un’altra importante vulnerabilità scoperta per la prima volta a dicembre 2021. Si tratta di uno zero-day che ha avuto un significativo impatto sulla libreria Log4j di Java. In grado di essere eseguito da utenti remoti e non autenticati, sono oltre un centinaio le aziende interessate da questa vulnerabilità, secondo l’elenco pubblicato da CISA, di cui più di una ventina sono provider di sistemi di controllo industriale (ICS).
Il software oggetto degli attacchi era ampiamente utilizzato negli ambienti OT e la modalità di attacco remoto lo rendeva un obiettivo semplice da colpire per i cyber criminali. Vista l’ampia diffusione di Log4j, il direttore della Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, si è reso conto rapidamente del fatto che questa nuova vulnerabilità rappresentava una sfida primaria per tutti i responsabili della sicurezza di rete.
Gli utenti finali ripongono grande fiducia nei loro fornitori e, a loro volta, i provider devono essere in grado di identificare, mitigare e applicare patch a tutta la gamma di prodotti che utilizzano questo software. I fornitori dovrebbero, inoltre, comunicare in modo trasparente con i propri clienti, cosicché gli utenti sappiano che il loro prodotto presenta questa vulnerabilità e che devono, quindi, aggiornare costantemente il software.
Attacco ransomware a NEW Cooperative
Nel corso del 2021, i produttori di food&beverage sono stati presi di mira diverse volte dai cyber criminali. Tale interesse può essere facilmente riconducibile alle forti ripercussioni che causerebbe un blocco di questo settore. In questo scenario, di particolare interesse, è stato l’attacco ransomware effettuato da BlackMatter ai danni di NEW Cooperative, una cooperativa agricola con sede in Iowa e parte della catena di approvvigionamento agricolo dello stato.
Simile a quanto effettuato da JBS Foods all’inizio del 2021, NEW Cooperative ha messo offline in modo rapido e proattivo i propri sistemi per contenere l’attacco e limitare i danni. Con il 40% della produzione di cereali in esecuzione sul suo software e 11 milioni di programmi di alimentazione degli animali che si basano su di essi, un attacco avrebbe influenzato rapidamente e negativamente l’intera catena di approvvigionamento alimentare.
Consigli utili di Claroty
Studiando le tre casistiche sopra citata, i professionisti della sicurezza possono implementare diverse misure per proteggere completamente l’XIoT in futuro. Queste misure includono la segmentazione della rete, la protezione da phishing e spam e la protezione delle connessioni di accesso remoto.
Quest’anno si è raggiunta la consapevolezza che la segmentazione della rete è la chiave per proteggere in maniera adeguata tutti i dispositivi industriali connessi a Internet e accessibili da remoto. Gli amministratori di rete dovrebbero, quindi, garantire che le proprie reti siano segmentate virtualmente e configurate in modo tale da poter essere gestite e controllate da remoto.
Inoltre, i tentativi di phishing sono aumentati a seguito del lavoro remoto e possono essere contrastati, in primis, evitando di cliccare su collegamenti inviati da mittenti sconosciuti, di condividere le proprie password e attivando un’autenticazione a più fattori.
Nella nuova normalità, anche le connessioni di accesso remoto devono essere protette in quanto sono di fondamentale importanza per gli ambienti OT e industriali. Per questo motivo, i professionisti della sicurezza in questi settori dovrebbero verificare eventuali vulnerabilità VPN, monitorare tutte le connessioni remote e applicare autorizzazioni e controlli amministrativi per l’accesso degli utenti.
