Kaspersky Lab rilascia un nuovo report security che mostra come nella prima metà del 2017, il 30% degli attacchi IT del settore ICS è rivolto al manifatturiero.
Il nuovo rapporto Kaspersky Lab “Threat Landscape for Industrial Automation Systems in H1 2017“ mette in luce alcuni trend importanti in ambito security in riferimento ai primi sei mesi (H1) del 2017.
In questo lasso di tempo, le soluzioni di Kaspersky Lab hanno bloccato tentativi di attacco che sono stati diretti al 37,6% dei computer ICS protetti da Kaspersky a livello globale. La cifra è inferiore di 1,6 punti percentuali rispetto alla seconda metà del 2016. La maggior parte di questi computer si trovava all’interno di aziende manifatturiere produttrici di materiali, attrezzature e beni di vario genere. Tra i settori più interessati si notano ingegneria, istruzione e ristorazione. I computer ICS delle aziende produttrici di energia elettrica hanno totalizzato quasi il 5% di tutti gli attacchi.
Come nel periodo precedente, i Paesi in cui è stato rilevato il maggior numero di attacchi ai computer industriali sono Vietnam (71%), Algeria (67,1%) e Marocco (65,4%), mentre è in crescita la percentuale di attacchi in Cina (57,1%), ora al quinto posto della classifica. La principale fonte delle minacce arriva da Internet: i tentativi di scaricare malware o di accedere a risorse web, classificate come malevole o relative a phishing, sono stati bloccati sul 20,4% dei computer ICS. In totale, Kaspersky Lab ha rilevato circa 18.000 varianti di malware nei sistemi di automazione industriale in H1 2017, appartenenti a più di 2.500 famiglie di malware diverse.
Significativa la diffusione degli attacchi ransomware, fenomeno certo non limitato al solo mondo industriale – anche se la percentuale di computer attaccati almeno una volta nel settore delle infrastrutture industriali in H1 2017 si assesta allo 0.5%. Nel complesso, gli esperti hanno scoperto ransomware appartenenti a 33 famiglie diverse. La maggior parte degli encryption Trojan è stata distribuita tramite messaggi di posta indesiderata “mascherati” da comunicazioni aziendali, con allegati dannosi o aventi collegamenti che portano a risorse web malevole. Le prime 10 famiglie di encryption Trojan più diffuse includono le famiglie di ransomware, come Locky e Cerber, che sono attivi dal 2016 e hanno consentito ai cyber criminali di ottenere il profitto maggiore. I due attacchi ransomware più noti sono invece i recenti WannaCry e ExPetr. Il fenomeno del ransomware è analizzato nella ricerca di Kaspersky Lab ICS CERT.
Kaspersky Lab ICS CERT raccomanda di:
- Fare un inventario dei servizi di rete in esecuzione prestando particolare attenzione ai servizi che forniscono l’accesso da remoto agli oggetti del file system.
- Controllare l’isolamento dell’accesso al componente ICS, l’attività di rete all’interno della rete industriale e nei suoi confini, delle policy e delle pratiche relative all’utilizzo di supporti rimovibili e dispositivi portatili.
- Verificare la sicurezza dell’accesso da remoto alla rete industriale e ridurre o eliminare completamente l’utilizzo degli strumenti di amministrazione remota.
- Aggiornare le soluzioni di sicurezza endpoint.
- Utilizzare metodi di protezione avanzati: implementare il monitoraggio del traffico di rete e il rilevamento degli attacchi informatici sulle reti industriali.
Evgeny Goncharov, Head of Critical Infrastructure Defense Department, Kaspersky Lab
Nella prima metà dell’anno abbiamo potuto osservare come i sistemi industriali siano poco protetti: tutti i computer industriali interessati sono stati infettati accidentalmente e da attacchi inizialmente rivolti a utenti privati e reti aziendali. In questo caso, gli attacchi ransomware distruttivi di WannaCry e ExPetr si sono rivelati significativi, portando all’interruzione dei cicli di produzione aziendali in tutto il mondo, a problemi nella logistica e a tempi di inattività forzata in alcune aziende ospedaliere. Questi attacchi possono provocare delle intrusioni ulteriori. Dal momento che per le misure preventive non c’è più tempo, le aziende dovrebbero pensare ad applicare immediatamente misure di protezione proattive in modo che in futuro non debbano prendere decisioni quando gli attacchi sono già in corso.