logo

CybergON Blog

Advancing the State of Cybersecurity.

Cyberwar: i rischi di sicurezza e le azioni di mitigazione per le aziende

Gli avvenimenti drammatici delle ultime settimane sono noti a tutti, così com’è noto che il campo di azione si è esteso anche al cyberspazio. In questo articolo non entreremo nel merito politico della cyberwar in atto, ma analizzeremo i rischi per le aziende sul nostro territorio e relative azioni di mitigazione.

cyberwar

Lo scenario che dal punto di vista della sicurezza informatica ci troviamo ad affrontare comprende la nascita di due minacce specifiche, i malware HermeticWiper e Cyclops Blink, che insieme a sfruttamento di vulnerabilità, phishing, attacchi DDoS e naturalmente altre tipologie di ransomware già in circolazione, potrebbero essere veicolati da gruppi criminali che approfittano della situazione di emergenza per colpire.

Il primo malware nato in occasione del conflitto ha uno scopo distruttivo: CSIRT Italia indica che l’obiettivo di HermeticWiper è di distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione. Non si tratta quindi di un ransomware “classico”, che fornirebbe la speranza di poter ripristinare i sistemi e recuperare i dati, ma di un attacco potenzialmente devastante per l’azienda.

Cyclops Blink è stato analizzato congiuntamente dal National Cyber Security Centre (NCSC) del Regno Unito, della Cybersecurity and Infrastructure Security Agency (CISA), della National Security Agency (NSA) e del Federal Bureau of Investigation (FBI) e viene indicato come un “pezzo di malware altamente sofisticato che è stato sviluppato professionalmente” (Qui l’analisi completa).

La distribuzione del malware sembra avvenire verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. La persistenza sui dispositivi target è ottenuta sfruttando un aggiornamento firmware apparentemente legittimo, che garantisce l’esecuzione del codice malevolo anche a seguito di eventuali riavvii dei sistemi interessati. WatchGuard, in collaborazione con CISA, FBI, NSA e NCSC UK, ha reso disponibili a questo link le indicazioni necessarie all’identificazione e alla rimozione di Cyclops Blink sui dispositivi interessati.

Consigli e azioni di mitigazione

Come abbiamo anticipato, il rischio di compromissione si presenta in relazione a queste minacce specifiche, ma non solo: gruppi criminali estranei al conflitto potrebbero sfruttare il momento di crisi per attaccare indistintamente e violentemente. Dal nostro punto di vista è necessario che tutte le imprese sul nostro territorio facciano attenzione, specialmente se hanno sedi o relazioni con aziende nei paesi coinvolti.

Consigliamo di mettere in campo queste pratiche:

  • Innalzare il livello di priorità nel monitoraggio di eventi che coinvolgano sistemi presenti in Ucraina e/o Russia;
  • Prestare attenzione a eventi che coinvolgono IP pubblici indicati nelle liste rilasciate dal CERT e in generale da IP pubblici assegnati a Russia o Ucraina;
  • Monitorare tutti gli accessi a piattaforme sensibili, come Office365 e Azure, che provengono dai paesi a rischio;
  • Mantenere aggiornati gli Indicator Of Compromise (IOC), identificati a livello internazionale e consigliati dal CERT Europeo, sugli strumenti di detection.

Infine, pratiche di patching di tool con vulnerabilità note e innalzamento del livello di consapevolezza interno rispetto ai rischi legati, ad esempio, a mail di phishing, contribuiranno a diminuire il rischio e la superficie di attacco.

In caso di compromissione, il nostro team di specialisti opera in modalità 24x7. Contattaci per un supporto: sos@cybergon.com