Lo scenario delle cyber minacce a imprese industriali e sistemi OT, nel corso del 2022, è cambiato a causa del conflitto russo-ucraino, che ha di fatto spostato i pesi e le attenzioni all’interno del mondo del cybercrime.
A fare il punto della situazione, indicando delle macro previsioni sull’evoluzione delle minacce, sono gli esperti del Cert Ics di Kaspersky, un osservatorio privilegiato con un team di ricercatori dedicati al monitoraggio delle minacce OT, alla ricerca di vulnerabilità e con una lunga esperienza nella cybersecurity.
“Analizzando gli incidenti nel 2022, dobbiamo riconoscere che siamo entrati in un’epoca in cui i cambiamenti più significativi nel panorama delle minacce Ics sono determinati principalmente dalle tendenze geopolitiche e dai conseguenti fattori macroeconomici”, ha commentato Evgeny Goncharov, Head di Ics Cert Kaspersky in un recente incontro con la stampa.
“I criminali informatici sono naturalmente cosmopoliti; tuttavia, prestano molta attenzione alle tendenze politiche ed economiche mentre inseguono facili profitti”.
Con Fabio Sammartino di Kaspersky Italia abbiamo dei nuovi potenziali rischi, delle tipologie di vittime, ma anche di come stanno evolvendo le organizzazioni del cybercrime.
Le nuove minacce al mondo OT, cambiano le tipologie di vittime
La crisi geopolitica ha portato a un cambio di rotta dal punto di vista della focalizzazione degli attacchi, soprattutto nel mondo industriale. E sono cambiate anche le tipologie di vittime.
“Per esempio si è notato che oggi sono presi di mira settori come l’agricoltura, in particolare la produzione di macchine agricole, la produzione di fertilizzanti e la logistica”, ci dice Sammartino.
“Il settore dell’energia e delle infrastrutture critiche, pur essendo il più maturo dal punto di vista della cybersecurity, è sempre più sotto attacco da parte di cybercriminali - una tendenza che si rafforzerà nel corso del 2023 - che spesso sfruttano la crisi geopolitica”.
Si tratta, tuttavia, di una macro visione, che dovrà sempre considerare il fattore di rischio dell’azienda.
Aumenta la superficie di attacco nel mondo OT
Le minacce di tipo tradizionale non devono, infatti, essere sottostimate.
“In questo senso va citato il rischio aumentato dall’utilizzo in crescita di dispositivi di tipo smart e IIoT, che nel mondo industriale assume una valenza maggiore per la larga applicazione di sensoristica e dispositivi di ogni natura sempre più connessi a piattaforme cloud e sistemi terzi”, spiega Sammartino.
“Questa dinamica aumenta la superficie di attacco, con l’aggravante che molti dispositivi non sono stati costruiti secondo modalità security by design”.
Un ulteriore fattore da considerare è legato anche alla spinta proveniente dai Governi di orientarsi verso fornitori locali - data la recente crisi della componentista e delle supply chain - alcuni dei quali non ancora maturi dal punto di vista della cybersecurity.
I rischi di espansione della superficie di attacco sono legati anche agli elevati costi dei fornitori energetici e ai conseguenti aumenti dei prezzi dell’hardware, che costringerebbero molte imprese ad abbandonare i piani di implementazione dell’infrastruttura on premise a favore di servizi cloud da parte dei fornitori terzi.
Attacchi ai software Cmms, forse un nuovo trend nell'OT security
Una tendenza che si sta manifestando riguarda gli attacchi ai software Cmms, Computerized Maintenance Management System.
L’analisi ha fatto emergere che gli attacchi a questi sistemi in Europa si concentra in paesi quali la Germania, l’Austria, la Francia, l’Olanda in Europa, dove le reti OT sono meglio protette, per cui i cybercriminali deviano gli attacchi verso i sistemi di controllo Cmms.
“Si tratta di un trend non ancora consolidato, di cui sono stati, però registrati alcuni casi significativi”, continua Sammartino. “Forse ci troviamo di fronte a una nuova strategia, visto che l’attenzione alle protezioni si sta concentrando sui dispositivi IIoT”.
Chiavette Usb per colpire sistemi OT non connessi
“Una nota fuori dal comune arriva da una segnalazione dell’Fbi , che lo scorso anno ha notato attacchi attraverso chiavette Usb inviate a vittime designate, utilizzando tecniche di phishing”, racconta Sammartino.
Una tecnica per attaccare sistemi OT non connessi e bypassare la segmentazione delle reti industriali.
Utilizzo di Cloud pubblici per sferrare gli attacchi a sistemi OT
Un'altra tendenza che si sta evidenziando e che potrebbe rendere più difficile il lavoro di chi deve attivare sistemi di difesa è l’utilizzo, da parte degli attaccanti, di server che controllano l’attacco basati su servizi cloud di tipo pubblico tra i più noti, rendendo difficile bloccare la connessione perché potrebbero esserci altri servizi che fanno riferimento a quel provider.
“È evidente che il maggior utilizzo di soluzioni cloud aumenta il rischio di attacchi cyber”, afferma Sammartino. “Purtroppo, però, chi implementa tali soluzioni tende a delegare la sicurezza al provider della soluzione, spostando semplicemente il rischio, ma non andando a contrastarlo.
Il mondo parallelo dei cybercriminali
Da tempo, ormai, la figura dell’hacker solitario ha lasciato il posto a vere e proprie organizzazioni criminali, che si stanno via via specializzando. “Nel mondo del cybercrime possiamo distinguere diversi gruppi, che agiscono con obiettivi differenti ma con un’unica matrice: quella della criminalità”, ci dice Sammartino.
I gruppi Apt legati ai Governi, cosiddetti Apt state sponsored sono spinti da forti motivazioni geopolitiche; sono spesso militarizzati e dispongono di ingenti risorse economiche. Obiettivo di recenti attacchi di tipo ransomware sferrati da questi gruppi è, per esempio, il sabotaggio di sistemi informatici.
Gli hacktivist sono gruppi hacker con motivazioni principalmente politiche con capacità tecniche inferiori rispetto agli Apt state sponsored. Un esempio noto è Anonymous, altri si sono formati in virtù della guerra in Ucraina. Gli hacktivist veicolano attacchi ransomware di tipo estorsivo-economico presso aziende pubbliche e private.
“Ciò a cui stiamo assistendo è che il mondo del cybercrime si sta settorializzando e specializzando”, ci dice Sammartino. “Ci sono gruppi che si occupano di furti di credenziali, altri della vendita di queste dati, altri ancora si specializzano nel veicolare la parte finale dell’attacco per chiedere il riscatto e c’è chi si occupa solo di negoziazione”.
Si tratta di un tipo di organizzazione che permette di minimizzare il rischio e massimizzare il guadagno.
E non è nemmeno difficile accedere a questi “servizi”, ormai disponibili in formato as-a-service. Il fenomeno del ransomware as-a-service consente a cybercriminali di accedere a un’intera piattaforma, pagando un servizio ed eliminando completamente la scrittura di codice malevolo.
Puntare su una solida strategia di base
Lo scopo del Cert Ics di Kaspersky è di dare delle linee guida di indirizzo per far sì che chi deve fare delle scelte in termini di sicurezza della propria rete industriale abbia più strumenti per mettere a punto una solida strategia di cybersecurity.
Anche se cambiano le motivazioni, le tecniche d’attacco in fondo sono le stesse. Certo si perfezionano, si scoprono nuove vulnerabilità zero-day e si utilizzano nuovi strumenti.
“È difficile dare suggerimenti per contrastare tutti i tipi di attacchi, per questo le indicazioni si concentrano sulle strategie di base e su come migliorare la risposta alle minacce più comuni”, conclude Sammartino
Qualche suggerimento per monitorare gli attacchi futuri
I ricercatori del Cert Ics di Kaspersky hanno elencato le principali tecniche e tattiche di cui si prevede la diffusione nel corso di quest’anno:
- Pagine e script di phishing nascosti in siti legittimi.
- L’uso di programmi di distribuzione non funzionanti contenenti Trojan, patch e key generator per software di uso comune e specialistico.
- E-mail di phishing su eventi di attualità con argomenti particolarmente drammatici, compresi eventi politici.
- Documenti rubati in precedenti attacchi ad aziende collegate o partner che vengono utilizzati come esca nelle e-mail di phishing.
- La diffusione di e-mail di phishing provenienti da caselle di posta elettronica di dipendenti e partner compromesse e mascherate da corrispondenza di lavoro legittima.
- Vulnerabilità zero-day, che verranno chiuse ancora più lentamente poiché gli aggiornamenti di sicurezza per alcune soluzioni diventano meno accessibili in alcuni mercati.
- Abuso di errori di configurazione di base (come l’utilizzo di password predefinite) e di facili vulnerabilità zero-day in prodotti di “nuovi” fornitori, compresi quelli locali.
- Attacchi ai servizi cloud.
- Utilizzo di errori di configurazione nelle soluzioni di sicurezza, ad esempio quelli che consentono di disattivare una soluzione antivirus.
- Sfruttamento di vulnerabilità in software legittimi, per esempio, per aggirare la sicurezza del nodo finale.
- La diffusione di malware tramite supporti rimovibili per superare le segmentazioni di rete.