Sistemi di controllo industriali: è allarme ransomware

Abbiamo recentemente scritto di attacchi ransomware che hanno colpito pubbliche amministrazioni, enti e aziende italiane. Purtroppo la situazione sta diventando sempre più grave anche per quelle realtà industriali che usano sistemi di controllo automatizzati. Il recente “report on threats affecting ICS” redatto dagli analisti di Trend Micro, inquadra in dettaglio questa situazione mettendo in luce l’ulteriore pericolo che sia affianca a quello del furto dei dati e degli attacchi ransomware alle infrastrutture. I malware progettati per gli attacchi ransomware sono temibili, ma spesso la situazione è risolvibile in tempi brevi se l’azienda ha adottato soluzioni di backup certificate su server esterni. Purtroppo, se questa tipologia di attacco ha come obiettivo un ICS (sistema di controllo industriale) un buon sistema di backup non basta. Gli ICS, così come gli SCADA, sono elementi fondamentali per le industrie e gli impianti che li usano per il funzionamento e il monitoraggio dei processi industriali e se un ransomware riesce a penetrare questi sistemi è in grado di bloccare le operazioni per giorni. Consideriamo poi che se i cybercriminali sono esperti in questo genere di attacchi è facile che riescano a propagare la minaccia all’intera infrastruttura per rubare dati di ogni genere.

Il problema più grande è il blocco della produzione che, se si protrae per più giorni, può risultare più costoso dell’estorsione. Non è raro che in questi casi le aziende siano costrette a pagare per ottenere la chiave di sblocco e tornare produttive. La situazione è grave perché, oltre a prendere di mira l’area IT, coinvolge anche l’area OT (operational technology) ovvero quell’insieme di hardware e software che controlla i dispositivi di produzione e che per la cybersicurezza richiede procedure più attente e mirate. Per questi attacchi vengono usati dei ransomware modificati o creati ad hoc. Ai già tristemente famosi Ryuk, Nefilim, Sodinokibi e LockBit progettati per bloccare le infrastrutture si è recentemente aggiunta la famiglia di malware Ekans, espressamente creata per colpire i sistemi di controllo industriale. Questa categoria di malware, oltre disabilitare i backup dei dati e crittografare i server per bloccarli, è in grado di mettere fuori gioco le applicazioni utilizzate negli ICS, sistemi che, per la loro stessa natura non vengono aggiornati frequentemente con patch di sicurezza. Secondo le più recenti statistiche il 75% delle aziende in cui un attacco ransomware è andato a buon fine ha dovuto affrontare un blocco della produzione e per il 43% l’interruzione è durata più di quattro giorni. Tutto questo senza considerare gli eventuali costi per il ripristino, oltre ai problemi con clienti e fornitori.

Ma non è tutto, gli analisti esperti in cybersicurezza hanno lanciato un grido di allarme ai governi, dato questa nuova generazione di software maligni Ekans rappresentando un grande pericolo per obiettivi strategici come dighe, centrali elettriche, centrali nucleari, impianti chimici che potrebbero essere presi di mira da attacchi informatici per scopi terroristici.

Le soluzioni Hypergrid

Per proteggere le aziende da attacchi mirati che possono coinvolgere i sistemi di controllo industriale la prima linea di difesa è ovviamente quella di rendere impenetrabile l’infrastruttura e questo è possibile con le procedure di Network Vulnerability Assessment e i Penetration Test. Di fatto i check-up dei sistemi informatici di una rete aziendale, eseguiti per accertarne il livello di sicurezza, rilevare la presenza di punti deboli e correre ai ripari. La valutazione andrebbe eseguita almeno una volta ogni 6 mesi ma per aziende che sfruttano sistemi di produzione automatizzati è consigliabile eseguirla con maggiore frequenza e ogni qualvolta vengono applicate modifiche alla struttura della rete a quella produttiva. Il team di Hypergrid è in grado di gestire i sistemi di sicurezza IDS (Intrusion Detection System) e IPS (Intrusion prevention systems) che funzionano come allarmi per incrementare la sicurezza dell’infrastruttura. L’azienda fornisce anche un servizio come HyperNVA che rappresenta una valida soluzione per i clienti che desiderano eseguire il Vulnerability Assessment in totale autonomia. Hypergrid usa strumenti certificati e costantemente aggiornati per eseguire le procedure in modo semplice e strutturate in modo da soddisfare le specifiche richieste dall’Agenzia per l’Italia digitale. Il team di Hypergrid è anche esperto nell’eseguire procedure di auditing del codice dei software ICS e SCADA che, oltre a garantire il perfetto funzionamento del sistema, non devono presentare falle di sicurezza che possano favorire eventuali intrusioni. Tramite l’uso dei migliori strumenti software, sempre aggiornati, è in grado di valutare il lavoro fatto dai programmatori e nel caso della scoperta di falle suggerire la soluzione adeguata per porvi rimedio. Infine, ricordiamo che il Wi-Fi, sempre più usato anche nei sistemi industriali, è parte integrate della protezione dell’infrastruttura e deve essere basato sul Wi-Fi Enterprise (WPA2 Enterprise) in grado di garantire massima sicurezza negli accessi. Anche in questo caso Hypergrid propone un servizio in outsourcing chiamato HyperCut che permette di gestire al meglio l’accesso alla rete fornendo a ogni utente una password personale e una connessione criptata che, oltre a garantire una navigazione sicura in Internet, concede l’accesso all’intranet aziendale solo alle aree di competenza.

Per informazioni contattateci all’indirizzo info@hypergrid.it o al numero di telefono 0382 528875