Il commento di Vladimir Dashchenko, Security Researcher di Kaspersky Lab, alla vicenda Norsk Hydro
Il malware LockerGoga, che ha presumibilmente criptato i file di Norsk Hydro, appartiene ad una famiglia di Trojan-Ransomware relativamente nuova, che abbiamo identificato come Trojan-Ransom.Win32.Crypren.
L’attacco si è rivelato un incidente davvero preoccupante e dimostra, una volta di più, come il mondo non sia pronto ad affrontare eventuali cyberattacchi che prendono di mira le infrastrutture critiche, diversamente dagli aggressori che sono sempre più abili nell’attaccare questo tipo di impianti. Abbiamo osservato diversi casi di cyberattacchi a reti elettriche, raffinerie di petrolio, impianti siderurgici, infrastrutture finanziarie, porti e ospedali: in questi casi le organizzazioni hanno individuato e riconosciuto gli attacchi subiti. Molte aziende, però, ancora non sono in grado di farlo e le mancate segnalazioni ostacolano la valutazione dei rischi e la risposta alle minacce.
Spesso non si comprende il livello reale di rischio dal punto di vista della cybersecurity che può derivare dalla crescente connettività nel settore delle infrastrutture critiche. Una ricerca di Kaspersky Lab ha addirittura rilevato che per il 61% delle persone coinvolte nello studio l’implementazione dell’universo IoT nei propri sistemi ICS/OT è una sfida trascurabile dal punto di vista della sicurezza informatica, o addirittura inesistente.
È positivo vedere come Norsk Hydro abbia rifiutato di soddisfare le richieste dei cybercriminali e di pagare il riscatto e sapere della presenza di backup di sicurezza pronti all’uso. Senza questi backup, le conseguenze di un simile attacco sarebbero state estremamente gravi. Un altro importante elemento da considerare è il fatto che, nel corso dell’attacco, gli impianti per l’energia sono state isolati dalla rete principale e quindi non sono stati colpiti. Un’organizzazione industriale così articolata, come una fabbrica o un impianto per la fusione, è complessa da proteggere, proprio perché la sua infrastruttura è costituita da tanti elementi e le vulnerabilità presenti, anche in quelli meno rilevanti, possono diventare delle porte di acceso all’intera rete.
Nella maggior parte delle organizzazioni un attacco del genere potrebbe portare ad un’interruzione della produzione o ad una perdita importante in termini economici, ma per impianti come questo potrebbe avere come conseguenza anche danni fisici alla produzione.”
Come evitare scenari di questo tipo
- Effettuare periodiche valutazioni sulla sicurezza dell’organizzazione.
- Eseguire regolarmente i backup.
- Installare il prima possibile le patch su tutti i software presenti nell’infrastruttura dell’organizzazione.
- Istruire i dipendenti sulla “cybersecurity hygiene”.
- Adottare e implementare una soluzione di sicurezza affidabile per le aziende.
Per approfondire le tematiche della sicurezza, anche in ambito industriale, ricordiamo l’evento “Evolving SecYOUrity“, organizzato da Kaspersky Lab il prossimo 27 marzo a Milano.