Claroty: ecco i malware da tenere d’occhio quest’anno

I più danneggiati dagli attacchi nell’ordine sono: l’internet of Things, l’Information Technology e l’Internet of Medical Things.

malware

Chen Fradkin, Data Scientist del team di ricerca di Claroty: la lista dei malware da tenere d’occhio quest’anno e i settori più colpiti.

Nonostante il numero di attacchi di alto profilo sia leggermente diminuito nella seconda metà del 2021, l’impatto di questi attacchi è rimasto sempre lo stesso. Con le risorse cyber-fisiche altamente connesse, le misure di sicurezza per i dispositivi industriali, sanitari e aziendali critici sono ormai imprescindibili.

Tenere d’occhio questa lista dei malware

Il rapporto Clarory ha rilevato che il 34% delle vulnerabilità divulgate nella seconda metà del 2021 erano tra i sistemi cyber-fisici nell’IoT, nell’IT e nell’Internet of Medical Things. Confermando la necessità di misure di sicurezza che comprendano l’intero Extended Internet of Things (XIoT), non solo la tecnologia operativa (OT).

La lista dei malware da monitorare con attenzione

Ecco, di seguito, un elenco dei malware da tenere monitorati:

Tardigrade Malware. Diffusosi in diversi impianti di bioproduzione, il malware Tardigrade è stato responsabile di almeno due attacchi, in aprile e ottobre dello scorso anno, al settore sanitario. Grazie a questo malware, i cyber criminali sono riusciti ad entrare in possesso di informazioni aziendali sensibili e diffonderlo all’interno della rete.

Il mutaforma

Tardigrade è un “mutaforma”, in grado di cambiare proprietà in base al diverso ambiente in cui si trova, rendendo così più difficile prevenirlo e proteggersi. I ricercatori di BioBright hanno confrontato il malware Tardigrade con Smoke Loader. Nello specifico, hanno riscontrato che è dotato delle stesse funzionalità di un trojan. Così una volta installato su una rete vittima cerca le password memorizzate, distribuisce un keylogger, inizia a esfiltrare i dati e stabilisce una backdoor per gli aggressori.

Le azioni delle aziende sanitarie

In risposta a questi attacchi, le aziende sanitarie a rischio hanno iniziato a scansionare le loro reti di bioproduzione alla ricerca dei potenziali segni di un attacco. In un avviso pubblicato dal Bioeconomy Information Sharing and Analysis Center (BIO-ISAC), l’organizzazione no profit che inizialmente ha pubblicato la ricerca su Tardigrade, si raccomanda di trattare le reti come se fossero già stata compromesse. Inoltre di rivedere le misure di sicurezza informatica, adeguandole alle necessità.

Gli altri malware

Log4j. Log4Shell è un’altra importante vulnerabilità scoperta per la prima volta a dicembre 2021. Si tratta di uno zero-day che ha avuto un significativo impatto sulla libreria Log4j di Java. In grado di essere eseguito da utenti remoti e non autenticati, sono oltre un centinaio le aziende interessate da questa vulnerabilità, secondo l’elenco pubblicato da CISA. Di cui più di una ventina sono provider di sistemi di controllo industriale (ICS).

L’utilizzo negli ambienti OT

Il software oggetto degli attacchi era ampiamente utilizzato negli ambienti OT. La modalità di attacco remoto lo rendeva un obiettivo semplice da colpire per i cyber criminali. Vista l’ampia diffusione di  Log4j, il direttore della Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, si è reso conto rapidamente del fatto che questa nuova vulnerabilità rappresentava una sfida primaria per tutti i responsabili della sicurezza di rete.

Gli utenti finali ripongono grande fiducia nei loro fornitori. A loro volta, i provider devono essere in grado di identificare, mitigare e applicare patch a tutta la gamma di prodotti che utilizzano questo software. I fornitori dovrebbero, inoltre, comunicare in modo trasparente con i propri clienti. Cosicché gli utenti sappiano che il loro prodotto presenta questa vulnerabilità e che devono, quindi, aggiornare costantemente il software.

Attacco ransomware a NEW Cooperative

Nel corso del 2021, i produttori di food&beverage sono stati presi di mira diverse volte dai  cyber criminali. Tale interesse può essere facilmente riconducibile alle forti ripercussioni che causerebbe un blocco di questo settore. In questo scenario, di particolare interesse, è stato l’attacco ransomware effettuato da BlackMatter ai danni di NEW Cooperative, una cooperativa agricola con sede in Iowa e parte della catena di approvvigionamento agricolo dello stato.

La lista dei ransomware più temibili

Simile a quanto effettuato da JBS Foods all’inizio del 2021, NEW Cooperative ha messo offline in modo rapido e proattivo i propri sistemi per contenere l’attacco e limitare i danni. Con il 40% della produzione di cereali in esecuzione sul suo software e 11 milioni di programmi di alimentazione degli animali che si basano su di essi, un attacco avrebbe influenzato rapidamente e negativamente l’intera catena di approvvigionamento alimentare.

Consigli utili

Studiando le tre casistiche sopra citata, i professionisti della sicurezza possono implementare diverse misure per proteggere completamente l’XIoT in futuro. Queste misure includono la segmentazione della rete, la protezione da phishing e spam. Oltre alla protezione delle connessioni di accesso remoto. Quest’anno si è raggiunta la consapevolezza che la segmentazione della rete è la chiave per proteggere in maniera adeguata tutti i dispositivi industriali connessi a Internet e accessibili da remoto.

La segmentazione della rete

Gli amministratori di rete dovrebbero, quindi, garantire che le proprie reti siano segmentate virtualmente. E configurate in modo tale da poter essere gestite e controllate da remoto. Inoltre, i tentativi di phishing sono aumentati a seguito del lavoro remoto. Possono essere contrastati, in primis, evitando di cliccare su collegamenti inviati da mittenti sconosciuti, di condividere le proprie password e attivando un’autenticazione a più fattori.

La nuova normalità

Nella nuova normalità, anche le connessioni di accesso remoto devono essere protette in quanto sono di fondamentale importanza per gli ambienti OT e industriali. Per questo motivo, i professionisti della sicurezza in questi settori dovrebbero verificare eventuali vulnerabilità VPN. Poi monitorare tutte le connessioni remote e applicare autorizzazioni e controlli amministrativi per l’accesso degli utenti.