Secondo recenti report, i criminali informatici stanno minacciando sempre più le infrastrutture critiche con attacchi ransomware.
A febbraio di quest’anno, un impianto di compressione di gas naturale è stato attaccato da un ransomware, comportando la chiusura della struttura per due giorni.
Le aziende del settore sanitario e i laboratori di ricerca sono stati presi di mira dall’inizio della pandemia COVID-19.
Un nuovo progetto accademico della Temple University di Philadelphia che tiene traccia degli attacchi ransomware verso le infrastrutture critiche degli ultimi sette anni, mostra che il 2019 e il 2020 hanno registrato un forte aumento, rappresentando oltre la metà di tutti gli incidenti segnalati nell’intero periodo.
Quali Sono le Infrastrutture Critiche?
Secondo il CISA (Cybersecurity & Infrastructure Security Agency), “un’infrastruttura critica” è l’insieme di risorse, sistemi e reti che sono vitali per il funzionamento dell'economia, della salute pubblica e della sicurezza nazionale.
Il CISA afferma che sono 16 i settori classificati come infrastrutture critiche:
- chimica;
- strutture commerciali;
- comunicazione;
- produzione critica;
- difesa;
- istruzione;
- servizi di emergenza;
- energia;
- servizi finanziari;
- alimentazione e agricoltura;
- strutture governative;
- sanità;
- IT;
- nucleare;
- trasporti;
- sistemi idrici.
Questa è una superficie di attacco considerevole, resa ancora più vulnerabile dal fatto che le organizzazioni in molti di questi settori sono finanziate con fondi pubblici e spesso hanno carenze sia di budget che di esperienza rispetto a grandi aziende private con risorse adeguate.
Quanto Sono Frequenti gli Attacchi ad Infrastrutture Critiche?
Gli attacchi ransomware alle infrastrutture critiche sono aumentati drasticamente negli ultimi due anni e tutte le indicazioni fanno pensare ad una tendenza che continuerà man mano che gli strumenti ransomware e le offerte RaaS diventeranno sempre più disponibili.
Negli ultimi 7 anni, i dati pubblici raccolti dalla Temple University mostrano che ci sono stati quasi 700 attacchi ransomware su infrastrutture critiche; si tratta di una media di poco meno di 100 all'anno, ma in realtà più della metà di questi si sono verificati dal 2019.
Gli attacchi hanno interessato tutti i settori, dall'alimentazione e agricoltura alla produzione, alla salute pubblica e persino all'istruzione. Anche i settori dell’industria nucleare e della difesa sono stati presi di mira.
Di gran lunga la maggior parte degli attacchi ransomware su infrastrutture critiche negli ultimi anni ha preso di mira strutture gestite dai governi, con 199 segnalazioni di attacchi.
L'istruzione non è da meno con 106 segnalazioni, seguite da 61 segnalazioni di incidenti ransomware rivolti ai servizi di emergenza.
Chi Sono i Responsabili degli Attacchi ad Infrastrutture Critiche?
Gli attacchi contro infrastrutture critiche sono diventati sempre più frequenti con la prevalenza di strumenti ransomware standard come Netwalker venduti sulla darknet.
Non è una sorpresa vedere Maze in cima alla lista dei ransomware utilizzati in tali attacchi, portando con sé la minaccia non solo di crittografare i dati ma anche di esfiltrarli per usarli come leva contro le vittime che non vogliono pagare il riscatto.
È una tattica che è stata copiata da REvil, Snatch, Netwalker, DoppelPaymer, Nemty e altri operatori di ransomware.
A parte Maze, che secondo quanto riferito è stato utilizzato in almeno 57 incidenti contro infrastrutture critiche, i "15 minuti di fama" di Wannacry hanno portato a circa 33 attacchi alle imprese nei 16 settori citati poco sopra, lo stesso numero dei ransomware Ryuk e Revil / Sodinokibi.
Quanto Costa un Attacco Ransomware a un’Infrastruttura Critica?
A differenza degli APT e degli attori dello stato-nazione che possono cercare di penetrare nelle infrastrutture critiche per lo spionaggio o il sabotaggio, i criminali informatici che utilizzano il ransomware hanno un obiettivo principale: il riscatto in denaro.
A tal fine, l'importo del riscatto richiesto in 13 casi registrati ha superato i 5 milioni di dollari, con altri 13 registrati tra 1 milione e 5 milioni di dollari. Circa 31 incidenti di ransomware hanno richiesto 1 milione di dollari, mentre 66 hanno chiesto 50.000 dollari o meno.
Come evidenziato sopra, la prevalenza del ransomware è aumentata proporzionalmente alla disponibilità di eseguire questo attacco anche da parte di criminali informatici di livello tecnicamente basso.
Le statistiche infatti dimostrano che circa 54 attacchi ransomware verso infrastrutture critiche hanno richiesto un riscatto di 1.000 dollari o addirittura meno.
Forse questi attori avevano adottato un approccio "shotgun" o "scattergun" per attaccare bersagli casuali e non erano pienamente consapevoli della natura dell'organizzazione che avevano compromesso.
Come Proteggere le Infrastrutture Critiche?
Poiché la natura dei nuovi attacchi ransomware è quella di esfiltrare i dati e crittografare i file, la chiave per la difesa dal ransomware è la prevenzione; in altre parole, impedire agli aggressori di entrare, rilevarli e bloccarli il prima possibile nel ciclo di vita della minaccia.
Ciò richiede, prima di tutto, visibilità all’interno della rete dei dispositivi connessi. È anche importante controllare l'accesso, rafforzare le configurazioni e mitigare le vulnerabilità attraverso frequenti patch.
L’utilizzo della connessione VPN, della crittografia del disco obbligatoria e del controllo delle porte riduce la superficie di attacco per il ransomware.
E-mail e phishing sono ancora il principale vettore di ingresso per il ransomware, quindi è importante un programma di formazione valido con simulazioni di possibili attacchi. Inoltre, è necessario assicurarsi che gli utenti abbiano accesso solo ai servizi e alle risorse necessarie per il proprio lavoro.
Queste sono tutte buone misure che dovrebbero fermare gli attacchi, ma determinati criminali che prendono di mira le infrastrutture critiche potrebbero trovare il modo di aggirarli. Ecco perché è essenziale una soluzione EDR collaudata che blocca gli attacchi in anticipo.
In Conclusione
L’aumento di attacchi ransomware verso le infrastrutture critiche è una delle preoccupazioni principali. Un tempo bersaglio esclusivamente di attori di stati che raramente eseguivano attacchi in modo da rivelare la loro presenza, le organizzazioni all'interno dei 16 settori dell'infrastruttura critica sono ora viste come obiettivi principali per gli operatori di ransomware.
Interrompere e potenzialmente danneggiare apparecchiature, reti, risorse e servizi vitali permette ai criminali informatici di avere maggiori possibilità di ottenere un pagamento. Considerando anche la fuga di dati e le sanzioni normative, è fondamentale che questi attacchi vengano fermati sul momento.
SentinelOne protegge le organizzazioni dagli attacchi ransomware, per avere maggiori informazioni chiamaci allo (055) 538-3250 o scrivici all’indirizzo cio@florence-consulting.it. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.