Le 4 azioni di mitigazione di CybergON per aumentare la protezione aziendale e contrastare le azioni dei cybereserciti e dei nuovi malware in circolazione: HermeticWiper e Cyclops Blink. Questi gruppi stanno sfruttando il momento di crisi per attaccare indistintamente e violentemente le aziende di qualsiasi dimensione. Diventa sempre più necessario mettere in campo politiche di difesa. Specialmente nel caso in cui un’azienda abbia filiali e relazioni dirette con la Russia e l’Ucraina.
Ecco le quattro principali pratiche di mitigazione che ogni impresa dovrebbe adottare:
1 Innalzare il livello di priorità nel monitoraggio di eventi che coinvolgano sistemi presenti in Ucraina e/o Russia.
2 Prestare attenzione a eventi che coinvolgono IP pubblici indicati nelle [liste del CERT. In generale da IP pubblici assegnati a Russia o Ucraina.
3) Monitorare tutti gli accessi a piattaforme sensibili, come Office 365 e Azure, che provengono dai paesi a rischio
4) Mantenere aggiornati gli Indicator Of Compromise (IOC) identificati a livello internazionale e consigliati dal CERT Europeo sugli strumenti di detection.
CybergON, protezione aziendale contro i cybereserciti
Infine, è importante adottare pratiche di patching dei tool con vulnerabilità note. Oltre a innalzare il livello di consapevolezza interno dei rischi legati; ad esempio, le email di phishing, contribuiranno a diminuire il rischio e la superficie di attacco.
Le due minacce emergenti
Queste azioni contribuiranno a contrastare l’azione anche di due nuove minacce specifiche: i malware HermeticWiper e Cyclops Blink. Oltre allo sfruttamento di vulnerabilità, phishing, attacchi DDoS e naturalmente altre tipologie di ransomware già in circolazione, potrebbero essere sfruttati da gruppi criminali che approfittano della situazione di emergenza per colpire.
Hermetic Wiper
Il primo malware, noto come Hermetic Wiper, è nato in occasione del conflitto e ha uno scopo distruttivo. CSIRT Italia indica che l’obiettivo è istruggere intenzionalmente i dati presenti su un dispositivo per renderli irrecuperabili. Minando il corretto funzionamento del sistema operativo in esecuzione. Non si tratta quindi di un ransomware “classico”, che fornirebbe la speranza di poter ripristinare i sistemi e recuperare i dati, ma di un attacco potenzialmente devastante per l’azienda.
Cyclops Blink
Il secondo, noto invece come Cyclops Blink, è stato analizzato congiuntamente dal National Cyber Security Centre del Regno Unito, della Cybersecurity and Infrastructure Security Agency, della NSA e dell’FBI) Viene indicato come un “pezzo di malware altamente sofisticato che è stato sviluppato professionalmente”.
Aumentare la protezione aziendale
La distribuzione del malware sembra avvenire verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. La persistenza sui dispositivi target è ottenuta sfruttando un aggiornamento firmware apparentemente legittimo. Esso garantisce l’esecuzione del codice malevolo anche a seguito di eventuali riavvii dei sistemi interessati.
