Allarme cybersecurity: aumento esponenziale di attacchi ransomware

Il conflitto in Ucraina, tra tanti altri effetti e conseguenze negative, ha derminato un esponenziale aumento dei cyber attacchi. Per fronteggiare questa autentica emergenza, nel nostro Paese è stata costituita un’Agenzia di Cybersecurity, in collaborazione con l’intelligence italiana.

Di particolare gravità sono stati gli attacchi subiti nell’ultimo mese da aziende legate al settore utility. Sono recentissimi infatti gli accessi non autorizzati verificatisi in due colossi dell’energia come Eni e Gse, mentre del mese scorso è l’attacco ransomware ai danni di South Staffordshire Water, società di approvvigionamento idrico del Regno Unito.

Simon Chassar, CRO di Claroty  (in fotografia) - realtà specializzata in soluzioni di sicurezza volte a proteggere i sistemi cyber-fisici in ambienti industriali (OT), sanitari (IoMT) e aziendali (IoT) - ha espresso in merito qualche considerazione.

"L’obiettivo dei criminali è quello di mettere i decision maker alle strette, bloccando le attività delle aziende e le loro operazioni, in modo che non abbiamo altra scelta se non quella di pagare un riscatto per ripristinare i propri servizi. Nonostante le dichiarazioni contraddittorie rilasciate da South Staffordshire Water e il gruppo ransomware Cl0p, ciò che è chiaro è che i criminali informatici si stanno ormai spingendo oltre: andando a intaccare infrastrutture critiche per massimizzare il proprio guadagno monetario, infatti, non parliamo più di attacchi alla sola operatività ma, cercando di contaminare forniture idriche sicure, si parla di un reale rischio per l’intera popolazione.

I gruppi ransomware sanno benissimo che la minaccia di un possibile avvelenamento delle scorte d'acqua causerebbe numerose vittime, e la utilizzano come forte leva per chiedere riscatti altissimi. Nel febbraio 2021, quando un gruppo ransomware ha cercato di avvelenare i cittadini della Florida dopo avere preso il controllo remoto del computer che gestisce il sistema di trattamento delle acque, è diventato chiaro a tutti che gli ambienti di trattamento e approvvigionamento delle acque sono a rischio a livello globale.

Altro esempio di attacco ransomware ai danni di Utility, è quello di pochi giorni fa da parte del Gruppo BlackCat/APLHV nei confronti di Gse, società di gestione dei servizi energetici in Italia. Sebbene non si sappia ancora se i sistemi cyber-fisici siano stati colpiti duramente o meno da questo attacco, l’aumento di minacce mirate alle aziende di infrastrutture critiche a livello globale, evidenzia l’importanza ormai vitale di proteggere adeguatamente anche questi dispositivi. Fintanto che le vittime decidono di pagare un riscatto, infatti, questi gruppi non sono interessati alle conseguenze dei loro attacchi e sfortunatamente questa tattica sta funzionando".

Obiettivo Infrastrutture critiche

"Nel 2021 - prosegue Chassar - l'80% delle organizzazioni di infrastrutture critiche ha subito un attacco ransomware, il 62% delle quali ha pagato il riscatto. Attacchi come questi stanno aumentando esponenzialmente e, dato che le aziende di infrastrutture critiche sono sempre più digitali e stanno collegando sempre più sistemi cyber-fisici alle loro reti, aumenterà di conseguenza anche il perimetro esposto ad attacchi di questo tipo. I sistemi cyber-fisici come la tecnologia operativa (OT), i dispositivi Internet of Things (IoT) e l'IoT industriale (IIoT), non sono stati progettati pensando alla sicurezza informatica, e questo implica che possano presentare una serie di vulnerabilità che i malintenzionati possono sfruttare.

Per colmare queste lacune, i team di sicurezza devono avere piena visibilità su tutti i dispositivi collegati alla rete, inclusi IT e OT (tecnologia operativa), nonché qualsiasi dispositivo connesso XIOT. I security manager devono inoltre iniziare ad applicare patch e segmentare la rete o implementare controlli di sicurezza ove urgente ed è fondamentale che gli strumenti informatici OT Cyber specialistici vengano utilizzati sulle reti in modo che siano segmentati con criteri di rete di asset class per limitare la connettività non necessaria dal rilevamento di anomalie. In definitiva limitando il movimento di malware e mitigando l'impatto del rischio umano degli attacchi informatici".