Nozomi Networks - Minacce informatiche nella prima metà del 2020
Il panorama delle minacce OT/IoT per la prima metà del 2020 ha visto un aumento delle minacce alle reti OT e IoT, in particolare gli attacchi IoT botnet, ransomware e COVID-19. Questi tipi di attacchi sono in linea con le tendenze informatiche e socio-economiche globali. Il rapido aumento dei dispositivi IoT, la pandemia globale di COVID-19 e la crescente crescita e sofisticazione dei criminali informatici sono i fattori chiave. Questo blog post fornisce una panoramica delle minacce più attive osservate negli ultimi mesi dagli esperti di Nozomi Networks, oltre a fornire indicazioni su tattiche e tecniche e raccomandazioni per la protezione delle reti critiche.
Quali minacce sono aumentate in modo massiccio nella prima metà dell'anno?
Le minacce malware IoT sono in aumento e costituiranno una parte importante del panorama delle minacce nel prossimo futuro. Diversi fattori contribuiscono a questa crescita senza precedenti:
- Crescita esponenziale del numero di dispositivi IoT.
- L'uso insicuro dei dispositivi IoT direttamente accessibili via Internet.
- La mancanza di aggiornamenti di sicurezza per i dispositivi IoT, che li rende vulnerabili a frequenti attacchi da parte di numerosi attori delle minacce.
- La mancanza di informazioni sulla posizione di sicurezza dei dispositivi IoT.
Una delle botnet più interessanti è Dark Nexus, scoperta nell'aprile 2020. Gli operatori di Dark Nexus rilasciano frequentemente nuovi aggiornamenti, simili a quelli dei software commerciali. Inoltre, gli operatori di Dark Nexus vendono apertamente i loro servizi di mitigazione DDoS su Internet. Da un punto di vista tecnico, Dark Nexus si distingue dalle botnet concorrenti per un sofisticato meccanismo che profila i processi in esecuzione sul dispositivo infetto. L'obiettivo di questo meccanismo è identificare i processi che potrebbero ostacolare la corretta esecuzione del malware. Sebbene Dark Nexus abbia inizialmente infettato solo poche migliaia di dispositivi, questo numero può aumentare rapidamente. Pertanto, Dark Nexus deve essere tenuto in considerazione con urgenza.
Il ransomware è ancora importante?
Gli attacchi ransomware che colpiscono una varietà di settori verticali sono ancora comuni. Ciò che è cambiato sono gli obiettivi. Le bande di ransomware hanno spostato la loro attenzione su obiettivi più grandi, più critici e con tasche più profonde, tra cui produttori, aziende energetiche e municipalità locali. Gli operatori di ransomware in genere criptano i file e chiedono alle vittime il pagamento di un riscatto. Ora stanno anche esfiltrare i dati aziendali e minacciano di pubblicarli su Internet per esercitare una pressione ancora maggiore.
Come viene sfruttata la pandemia COVID-19 per la criminalità informatica?
La pandemia globale COVID-19 offre ai criminali informatici ancora più vettori e opportunità di sfruttamento. La superficie di attacco per la maggior parte delle aziende è aumentata notevolmente con il rapido passaggio a una politica di "home office". Alcune aziende dispongono di infrastrutture per consentire il lavoro a distanza, come VPN e computer portatili. Tuttavia, molte altre aziende non sono preparate e devono trovare rapidamente delle soluzioni, il che ha aperto la porta ai rischi per la sicurezza. Inoltre, il clima di paura e incertezza causato dalla COVID-19 rende i dipendenti più vulnerabili agli attacchi di social engineering. Nella prima fase di attacco, i criminali informatici hanno utilizzato principalmente e-mail di phishing per indurre gli utenti a rivelare informazioni personali o a eseguire software dannosi.
Un esempio è la famiglia di malware Chinoxy Backdoor. Il malware incorpora un documento con informazioni a supporto di COVID-19 in un file .rtf che sfrutta CVE-2017-11882. L'exploit viene utilizzato per rilasciare binari dannosi sulla macchina che utilizzano HTTP sulla porta 443 per la comunicazione C&C. Quando i criminali informatici accedono ai sistemi e rubano i dati di rete, lasciano sempre una traccia. È una buona notizia, perché questa traccia può essere identificata, a patto che le aziende abbiano una visione chiara di ciò che accade nelle loro reti OT/IoT.
Quali sono le altre sfide della sicurezza informatica?
Le vulnerabilità scoperte nei sistemi ICS offrono agli aggressori la possibilità di manipolare i dati, il che può avere un impatto sui processi fisici ed essere estremamente pericoloso per la produzione industriale. È quindi importante considerare le tendenze delle minacce di vulnerabilità quando si valutano i rischi per la sicurezza. Il numero di vulnerabilità rilevate dall'ICS-CERT nella prima metà del 2020 è aumentato significativamente rispetto al 2019. Un approccio ragionevole per l'industria è quello di ridurre l'esposizione affrontando prima le vulnerabilità facili da mitigare. Con il tempo, sarà possibile mitigare un numero sempre maggiore di vulnerabilità. Le vulnerabilità di validazione impropria degli input e di buffer overflow sono in cima all'elenco delle vulnerabilità del 2020 in termini numerici. Mentre la prima rientra nella categoria delle vulnerabilità facilmente mitigabili, la seconda è più difficile da risolvere. I buffer overflow richiedono aggiornamenti del firmware da parte dei produttori, la sostituzione dei vecchi dispositivi e altre misure correttive. Purtroppo, questo gruppo continuerà probabilmente a rappresentare una percentuale significativa delle vulnerabilità scoperte nei prossimi anni.
Quali minacce informatiche sono attese nella seconda metà dell'anno?
Prevediamo che gli attacchi di botnet IoT, ransomware e malware COVID-19 continueranno ad aumentare, anche se si assesteranno nella seconda metà dell'anno. Di fronte a minacce crescenti e in continua evoluzione, è importante garantire un'elevata resilienza informatica e capacità di risposta rapida. Le violazioni della sicurezza legate alle persone, ai processi e alla tecnologia possono avere un impatto notevole, soprattutto sull'IT e sull'OT nelle organizzazioni con sistemi IT, OT e IoT sempre più interconnessi. Tuttavia, con la giusta tecnologia e l'attenzione alle best practice, è possibile aumentare la visibilità e la resilienza operativa.
Tradotto dall'inglese con DeepL
Originale di Alessandro Di Pinto, responsabile della ricerca sulla sicurezza di Nozomi Networks.
Correzione e modifica a cura di Victor Rossner