Industria 4.0, è allarme ransomware per i sistemi di controllo industriali (ICS)

I Sistemi di controllo industriali (ICS) di tutto il mondo, propri dell’Industria 4.0, sembrano essere in pericolo a causa dei ransomware: a svelarne i motivi e le cause connesse all’allarme è la ricerca di Trend Micro “2020 Report on Threats Affecting ICS”, pubblicata nelle scorse ore.

Come se non bastasse la congiuntura pandemica, lo studio contenuto nel report mette in chiaro i risultati di un’indagine svolta sui diversi tipi di malware, fra cui i ransomware, per comprendere come agiscono e dove si insinuano per aggirare i sistemi di controllo industriali.

In particolare, il ransomware fa parte della “famiglia” dei malware (ossia, un programma, documento o messaggio di posta elettronica in grado di apportare danni a un sistema informatico di un altro computer) che limita l’accesso del dispositivo che infetta, richiedendo – nella sua ultima evoluzione – un riscatto da pagare per rimuovere la limitazione e potersi riappropriare ai dati “infetti”.

Cosa accade e come proteggere i sistemi di controllo industriali

Il problema della cybersicurezza, che non riguarda solo gli utenti singoli e l’utilizzo “domestico” di apparecchiature software e digitali, sta colpendo negli ultimi mesi soprattutto le aziende: ma perché accade soprattutto a cavallo della pandemia da Covid 19?

Lo studio di Trend Micro offre uno spunto di riflessione: con gli investimenti, su scala globale, dedicati all’Industria 4.0 sono aumentate le interconnessioni fra

“il processo aziendale su il lato IT e il processo fisico dal lato OT. Mentre questa interconnessione migliora visibilità, efficienza e velocità, espone anche inavvertitamente gli ICS a minacce che sono state che interessano le reti informatiche da decenni”.

I sistemi di controllo industriali (ICS) vengono sempre più presi di mira, ma per diverse motivazioni a seconda del malware utilizzato:

La scelta del malware aiuta a svelare la motivazione e il livello di abilità degli aggressori. Per esempio, l’uso di ransomware o un coinminer indica una motivazione finanziaria, l’uso di un wiper o altri malware distruttivi suggeriscono un sabotaggio e l’uso di una backdoor o un malware che ruba informazioni rivela lo spionaggio. In termini di abilità degli attaccanti, l’uso di personalizzazioni il malware suggerisce un’elevata competenza tecnica o comprensione dell’ambiente attaccato, mentre il malware standard suggerisce abilità amatoriali, anche se non è sempre così.

Ma non solo: il diverso tipo di malware riscontrato nei sistemi di controllo industriali possono dare informazioni anche sullo “stato di salute” della rete interessata, quindi sulle pratiche di sicurezza inadeguate: da una parte, si presume che

varianti di malware che sfruttano determinate vulnerabilità implicano endpoint privi di patch. Dall’altra, i virus che infettano i file suggeriscono infezioni precedenti che non sono state completamente debellate, con gruppi di dispositivi non controllati che ospitano i virus.

Alcuni suggerimenti per la sicurezza

Cosa fare, quindi, per proteggere i sistemi di controllo industriali? Secondo il report, utilizzare sistemi di rilevamento di malware come uno dei criteri per impostare la sicurezza informatica delle reti IT/OT migliorerebbe notevolmente la capacità di proteggere i possibili punti di accesso. Questo perché

Sulla base dei dati di rilevamento, possiamo concludere che malware moderni come ransomware e coinminer e malware legacy come virus e worm che infettano i file influiscono entrambi sui sistemi di controllo industriali. Questo implica che sia le tecniche moderne (come malware senza file, vivere fuori dalla terra e strumenti di hacking), così come quelli con metodi legacy collaudati (vecchi exploit di rete, esecuzione automatica di unità rimovibili, rete condividere bruteforcing e infezione dei file), può infettare con successo gli endpoint ICS. La presenza di ransomware in ICS in diversi attacchi potrebbe indicare che gli aggressori stanno iniziando riconoscere questi sistemi e puntarli attivamente.

Fra gli altri suggerimenti che arrivano da TrendMicro, comunque, si segnalano: limitare le condivisioni di rete e applicare combinazioni efficaci di nome utente e password; implementare la micro-segmentazione nella rete o utilizzare le tecnologie di patching virtuale; utilizzare sistemi di patch con aggiornamenti di sicurezza; installare soluzioni antimalware; configurare chioschi di scansione USB; considerare sempre le differenze nella consapevolezza e nell’implementazione della sicurezza; identificare e controllare i sistemi con bassa tolleranza al rischio.

Exit mobile version