Nei primi sei mesi di quest’anno, Kaspersky Lab ha rilevato circa 18.000 varianti di malware nei sistemi di automazione industriale appartenenti a più di 2.500 famiglie di malware diverse.
Nel rapporto intitolato “Threat Landscape for Industrial Automation Systems in H1 2017”, la società fa sapere che un terzo degli attacchi informatici rivolti ai computer ICS (acronimo di Sistemi Industriali di Controllo) ha riguardato le aziende manifatturiere.
Il picco dell’attività criminale è stato registrato a marzo, mentre la percentuale di computer presi di mira è diminuita gradualmente tra aprile e giugno.
Oltre a quello manifatturiero, altri settori fortemente interessati sono stati ingegneria, istruzione e ristorazione, mentre i computer ICS delle aziende produttrici di energia elettrica hanno totalizzato quasi il 5% di tutti gli attacchi.
Geograficamente invariati i Paesi in cui è stato rilevato il maggior numero di attacchi ai computer industriali, che anche nel primo semestre di quest’anno, si sono confermati: Vietnam (71%), Algeria (67,1%) e Marocco (65,4%), mentre si è registrato un aumento nella percentuale di attacchi ai sistemi situati in Cina (57,1%), ora al quinto posto nella classifica dei Paesi più colpiti.
Il pericolo arriva da Internet
Gli esperti hanno anche scoperto che la principale fonte di minacce arriva da Internet: i tentativi di scaricare malware o di accedere a risorse web, classificate come malevole o relative a phishing, sono stati bloccati sul 20,4% dei computer ICS. Il motivo di queste percentuali elevate per questo tipo di infezioni dipende dalle interfacce tra reti aziendali e industriali, accesso limitato a Internet da reti industriali e connessione a Internet dai computer delle reti industriali tramite operatori di telefonia mobile.
La produzione nel mirino dei ransomware
Nella prima metà dell'anno il mondo ha affrontato un’epidemia di ransomware che ha colpito anche il settore industriale. Sulla base della ricerca di Kaspersky Lab ICS CERT, il numero dei singoli computer ICS attaccati da encryption Trojan è aumentato in modo significativo e si è triplicato fino a giugno. Nel complesso, gli esperti hanno scoperto ransomware appartenenti a 33 famiglie diverse. La maggior parte degli encryption Trojan è stata distribuita tramite messaggi di posta indesiderata “mascherati” da comunicazioni aziendali, con allegati dannosi o aventi collegamenti che portano a risorse web malevole.
Sistemi industriali ancora poco protetti
Come riferito in una nota ufficiale da Evgeny Goncharov, Head of Critical Infrastructure Defense Department, Kaspersky Lab: «Nella prima metà dell’anno abbiamo potuto osservare come i sistemi industriali siano poco protetti: tutti i computer industriali interessati sono stati infettati accidentalmente e da attacchi inizialmente rivolti a utenti privati e reti aziendali. In questo caso, gli attacchi ransomware distruttivi di WannaCry e ExPetr si sono rivelati significativi, portando all’interruzione dei cicli di produzione aziendali in tutto il mondo, a problemi nella logistica e a tempi di inattività forzata in alcune aziende ospedaliere. Questi attacchi possono provocare delle intrusioni ulteriori. Dal momento che per le misure preventive non c’è più tempo, le aziende dovrebbero pensare ad applicare immediatamente misure di protezione proattive in modo che in futuro non debbano prendere decisioni quando gli attacchi sono già in corso».
Come proteggere un ambiente ICS da possibili attacchi informatici
Le raccomandazioni di Kaspersky Lab sono chiare e per punti:
• Fare un inventario dei servizi di rete in esecuzione prestando particolare attenzione ai servizi che forniscono l’accesso da remoto agli oggetti del file system.
• Controllare l’isolamento dell’accesso al componente ICS, l’attività di rete all’interno della rete industriale e nei suoi confini, delle policy e delle pratiche relative all’utilizzo di supporti rimovibili e dispositivi portatili.
• Verificare la sicurezza dell’accesso da remoto alla rete industriale e ridurre o eliminare completamente l’utilizzo degli strumenti di amministrazione remota.
• Aggiornare le soluzioni di sicurezza endpoint.
• Utilizzare metodi di protezione avanzati: implementare strumenti che consentono il monitoraggio del traffico di rete e il rilevamento degli attacchi informatici sulle reti industriali.
