ANALISI. Perché gli attacchi ransomware all’IT sono una minaccia per i processi industriali (e come prevenire le interruzioni)

Gli attacchi ransomware sono il rischio cyber numero uno per le aziende industriali e le infrastrutture critiche di tutto il mondo. Rilevare le attività dannose durante la fase di preparazione di un attacco per prevenire le interruzioni e la diffusione è il fulcro di tutte le strategie di cybersecurity.

Il recente attacco ransomware ESXiArgs ai server VMware ha messo in agitazione le aziende di tutto il mondo, compresa l’Italia, che si colloca al terzo posto nella classifica dei Paesi più colpiti dai cyberattacchi nel quarto trimestre del 2022.1 Non è una novità per la maggior parte delle entità italiane. Secondo le statistiche sulla sicurezza informatica e i crimini informatici in Italia, l’85% delle organizzazioni italiane ha subito un attacco negli ultimi 12 mesi, mentre il 60% ha avuto a che fare specificamente con un attacco ransomware1.

Questo nuovo incidente informatico di ampia portata non solo sottolinea il rischio che ogni azienda corre a causa della compromissione della supply chain, ma dimostra anche che il concetto di “sicurezza al 100%” è ormai superato da tempo.

Uno dei motivi è che la crescente dipendenza da servizi di terze parti e da fornitori comporta sempre una falla nella sicurezza, perché il loro scudo di sicurezza è al di fuori dell’azienda che lo utilizza. In effetti, le aziende non possono avere certezze sul livello di sicurezza di un componente software o hardware, o sul fatto che non sia per nulla sicuro. Ciò è particolarmente vero nelle infrastrutture critiche e negli ambienti industriali, dove i componenti e i sistemi delle reti di Operational Technology (OT) mancano di funzioni di sicurezza oppure sono costruiti su strutture “insicure by design”, con vulnerabilità zero-day ancora da scoprire. Allo stesso tempo, si deve affrontare un panorama di oltre 247 milioni di minacce di tipo malware all’anno.2

Ma il ransomware non è solo per l’IT?

L’integrazione dei sistemi, le applicazioni (I)IoT e la connessione dell’OT alle reti IT espongono questi sistemi e componenti industriali insicuri all’intero panorama di minacce noto all’IT. Questa sovrapposizione rende l’OT altrettanto, se non più, vulnerabile dell’IT.

Non c’è da stupirsi se, secondo i dati del 2022, le aziende manifatturiere sono state le vittime più comuni degli attacchi ransomware. Il 24,8% degli attacchi segnalati ha colpito aziende manifatturiere, il 10,7% aziende energetiche.3

Alla luce di questa realtà, quando un attacco ransomware colpisce un’azienda industriale è molto probabile che i processi industriali ne risentano. In particolare per le infrastrutture critiche, questo può innescare ricadute disastrose (ad esempio a livello sociale e politico). Inoltre, nel gennaio 2023 il sub-chapter di Anonymous GhostSec ha annunciato di essere riuscito a criptare un’unità terminale remota (RTU) che funziona nelle reti industriali. Questi nuovi sviluppi rendono gli attacchi ransomware mirati alle reti OT un rischio molto concreto.

Gli attacchi ransomware non sono troppo veloci da rilevare?

Gli attacchi ransomware sono percepiti come un attacco quasi istantaneo. Improvvisamente, tutti i computer sono criptati e tutti i dati sono persi. Questa percezione poteva essere vera in passato, quando il malware veniva inserito nel computer attraverso un allegato di posta elettronica malevolo e iniziava subito a crittografare il computer.

Oggi gli attacchi ransomware sono più sofisticati e vanno ben oltre. Può esistere un malware crittografico confezionato come worm (cioè con capacità di replica) e che comunica con un server di controllo ospitato su un indirizzo IP pubblico. Questa strategia consente agli aggressori di pianificare attentamente l’attacco e di ottimizzare il ritorno sull’investimento. E così:

● caricano ulteriori strumenti di cracking,

● scaricano e analizzano i dati aziendali per valutarne il valore, usarli per ricattare o venderli sul mercato nero (se le trattative falliscono),

● esplorano la rete per propagare ulteriormente le minacce e

● infettano il maggior numero possibile di dispositivi

prima di attivare la crittografia.

Questo processo di preparazione può durare giorni o mesi.

È durante questo periodo che un sistema di rilevamento delle intrusioni di rete (NIDS) ha la possibilità di rilevare le attività preparatorie dell’aggressore, in particolare nelle prime fasi della cyber kill chain, durante la ricognizione interna e il movimento laterale. Questo rilevamento precoce, basato sul paradigma della visibilità OT, consente agli operatori di bloccare l’attacco prima che interrompa i sistemi e i servizi.

Come rilevare gli attacchi ransomware in ambito OT?

Naturalmente, un NIDS non è destinato a sostituire gli strumenti standard della cybersecurity come i firewall, l’autenticazione, la segmentazione delle VPN e della rete. Queste misure standard sono ancora in grado di rilevare e bloccare in modo affidabile la maggior parte degli attacchi (il grosso dei cyberattacchi è ancora rilevabile attraverso strumenti di sicurezza basati sulla firma). Un NIDS serve per gli attacchi che utilizzano nuove tecniche di infiltrazione come gli exploit zero-day o altre tecniche come lo spear phishing, che superano le misure di mitigazione classiche, quali l’autenticazione e i filtri dei firewall. Considerando l’elevata vulnerabilità dei componenti e dei sistemi OT e la rapida evoluzione del panorama delle minacce, come descritto in precedenza, l’aggiunta del NIDS è sempre più importante per la sicurezza OT.

Un NIDS come Rhebo Industrial Protector consiste in un monitoraggio OT con un rilevamento delle anomalie che analizza tutte le comunicazioni OT e segnala qualsiasi attività che si discosta dalla comunicazione deterministica e autorizzata. Fornisce una seconda linea di difesa ai responsabili della sicurezza per rilevare gli attacchi che sono già penetrati nella rete e si stanno facendo strada in modo furtivo.

Rilevare le attività preparatorie significa prevenire la crittografia

Due famosi esempi reali di incidenti cyber di questo tipo sono la campagna ransomware WannaCry del 2017, che ha sfruttato l’allora vulnerabilità EternalBlue, e il caso di Colonial Pipeline del 2021, in cui gli aggressori hanno utilizzato una password VPN rubata. In entrambi i casi, i firewall e le misure di autenticazione sono stati superati. Sebbene entrambi gli attacchi abbiano preso di mira l’IT, hanno avuto ripercussioni molto negative sui processi industriali di alcune aziende a causa della connessione tra IT e OT.

WannaCry

Prima che WannaCry paralizzasse le operazioni di migliaia di aziende in tutto il mondo, aveva già lasciato una scia di comunicazioni preparatorie nelle reti. Il motivo è che WannaCry è stato attivato nella rete solo dopo che tutti i possibili bersagli erano stati infettati. Tra questi, i sistemi Windows, ormai comuni anche negli ambienti OT.

Un monitoraggio di rete con rilevamento delle anomalie avrebbe rilevato la scansione dell‘endpoint tramite la porta 445 con il protocollo SMB e TCP incompleto. Inoltre, prima di essere attivato, WannaCry comunicava tipicamente con il dominio kill switch al di fuori della rete aziendale. Questa connessione e la successiva comunicazione sarebbero state segnalate come anomalie rispetto alla struttura di comunicazione OT di base.

Colonial Pipeline

Prima che gli aggressori criptassero i server di Colonial Pipeline e bloccassero la conduttura principale dell’azienda, avevano già lasciato diverse impronte digitali nella rete. Innanzitutto, c’è il trasferimento di dati da 100 GB a un indirizzo IP sconosciuto. In secondo luogo, c’è la connessione VPN da un indirizzo IP esterno sconosciuto. In una rete OT, tali attività sarebbero state immediatamente segnalate come anomalie da un monitoraggio OT con rilevamento delle anomalie, che avrebbe dato ai responsabili della sicurezza una finestra temporale per prevenire ulteriori attività dannose.

Nel caso di Colonial Pipeline, è stato solo l’IT a essere direttamente colpito. Tuttavia, ciò ha indotto l’azienda a spegnere i propri sistemi OT per evitare un’ulteriore diffusione del ransomware. Pur trattandosi di una misura di buon senso, la conseguenza è stata una grave carenza di petrolio e gas e una perdita di fatturato. Con un monitoraggio OT dotato di rilevamento delle anomalie, l’azienda sarebbe stata in grado di effettuare rapidamente un controllo incrociato delle reti OT, individuando eventuali attività dannose. Questo avrebbe fornito agli operatori della sicurezza la certezza che l’OT fosse infetto o meno, dando loro la possibilità di decidere sulla base di fatti e non di presunzioni.

Assicurarsi che il proprio OT sia inviolato

Entrambe le capacità – rilevare in tempo reale qualsiasi attività dannosa nell’OT ed essere in grado di valutare rapidamente il rischio per l’OT di un attacco ransomware IT – possono essere decisive per superare un blackout nelle utility. Nel giugno 2022, la società tedesca Entega è stata colpita da un attacco ransomware. La sua filiale, l’azienda di servizi pubblici e-netz Südhessen, rischiava una ricaduta che avrebbe compromesso la fornitura di energia a un milione di persone. L’azienda di servizi pubblici ha immediatamente chiesto a Rhebo di condurre una valutazione della sicurezza industriale che comprendesse l’analisi delle comunicazioni OT dell’ultimo mese. Nel giro di 24 ore il responsabile della sicurezza di e-netz ha potuto tranquillizzarsi. L’OT non mostrava alcuna traccia del ransomware né alcun segno di attività dannosa che potesse essere associata all’attacco.

Tuttavia, la valutazione ha rilevato un paio di vulnerabilità e rischi che il responsabile della sicurezza è stato in grado di mitigare nel periodo successivo.

In questo modo, è riuscito a prevenire l’arresto, a garantire la fornitura di energia e ad aumentare la resilienza cyber dei processi industriali.

[1] https://www.comparitech.com/blog/information-security/italy-cyber-security-statistics/

2 https://newsrnd.com/life/2023-02-22-italy-is-the-european-country-most-affected-by-malware.SkrqcW8X0s.html

3https://www.designnews.com/automation/manufacturers-are-top-target-ransomware-attacks