Ransomware per ICS – la Next Generation

Negli ultimi anni i cosiddetti “ransomware” sono diventati una delle maggiori problematiche di sicurezza del mondo IT.

Questi software offensivi, in grado di crittografare in modo irreversibile i file dei pc o server attaccati, sono ai primi posti nella lista delle minacce più temute da responsabili IT o Security. I ransomware sono una delle “storie di successo” (ovviamente con valenza negativa) della storia delle minacce informatiche. Ipotizzati in modo teorico da decenni, si sono diffusi velocemente negli ultimi anni grazie alla possibilità di far effettuare pagamenti “anonimi” (in realtà poco tracciabili) da parte delle vittime.

L‘accoppiata di software di codifica inviolabile (disponibile da anni), malware di propagazione multipiattaforma (anch’esso di facile reperibilità) e di un veicolo di pagamento di facile utilizzo e con scarse possibilità di tracciamento (alcune criptovalute) ha condotto alla vasta diffusione di questi attacchi.

Siamo già alla seconda generazione di ransomware.

Mentre i primi esemplari erano relativamente semplici e destinati ad una propagazione massiva ed indiscriminata, gli attuali ransomware sono destinati ad attacchi mirati, sono dotati di sofisticate routine di autodifesa, capaci di attendere per giorni o settimane prima di scatenare il loro attacco.

Cosa ci possiamo aspettare per la prossima evoluzione di questi oggetti? Purtroppo, i primi indizi sono stati individuati da un team di ricercatori di varie aziende di sicurezza, che hanno scoperto e analizzato EKANS. Si tratta di un ransomware pensato per attaccare i sistemi di controllo industriali (ICS, Industrial Control Systems), per ora limitatamente alla parte di supervisione. Immaginiamo cosa potrebbe accadere se uno di questi malware riuscisse ad attaccare il sistema di controllo di un provider, una Telco o peggio di un sistema energetico. Il blocco di questi apparati potrebbe compromettere la funzionalità di sistemi critici per la vita di milioni di persone. E pagare il riscatto potrebbe non essere sufficiente…  Sfortunatamente non esiste una soluzione immediata contro queste vere e proprie armi informatiche, ma l’applicazione sistematica delle best practice di sicurezza è la migliore garanzia per sventare queste minacce.

Monitoraggio continuo, threat intelligence, patching aggressivo di client e server, protezione capillare degli endpoint, segmentazione delle reti, protezione delle credenziali critiche, sistemi evoluti di recovery dei dati e un efficace team di gestione e risposta agli incidenti sono gli ingredienti giusti per minimizzare questa formidabile minaccia.