Kaspersky ha pubblicato il report Q2 2024 sulla cybersecurity degli Industrial Control Systems (ICS) dal quale si evince in modo chiaro che i ransomware e gli spyware sono le armi preferite dal cyber crimine.
I due tipi di minacce sono correlati, tant’è che gli spyware vengono spesso impiegati per carpire informazioni sensibili utili a concludere con successo gli attacchi ransomware.
I numeri forniti da Kaspersky spiegano il cosa e il come. Ed è interessante capire anche perché gli Industrial Control Systems sono al centro dei riflettori del cyber crimine e chi sono gli attaccanti.
Per rispondere a queste domande ci siamo rivolti all’ingegnere Pierluigi Paganini, Ceo Cybhorus e Membro Ad-Hoc Working Group on Cyber Threat Landscapes – ENISA (European Union Agency for Network and Information Security).
Indice degli argomenti
Cosa sono gli Industrial Control Systems
Un Industrial Control System (ICS) è un insieme di strumenti, sistemi e tecnologie a cui le imprese fanno ricorso per monitorare i processi industriali.
A farne uso sono soprattutto le infrastrutture critiche nei settori dell’energia, della chimica e della logistica ma sono impiegati un po’ ovunque, anche nella manifattura e nella produzione in generale.
Rientrano in questa sfera di tecnologie i sistemi SCADA, DCS e PLS, particolarmente in auge tra le imprese di distribuzione energetica e idrica, nelle raffinerie e nelle centrali chimiche.
Gli ICS consentono l’automazione di processi che migliorano l’efficienza e la precisione rispetto all’intervento umano. Va da sé che, pure essendo ingegnerizzati con alti standard di sicurezza, essendo connessi alle reti aziendali, diventano prede ambite per hacker e hacktivisti.
Il report di Kaspersky
La ricerca Kaspersky (vedi link sopra) mostra che, nel corso del secondo trimestre del 2024, gli attacchi ransomware rivolti agli ICS sono aumentati del 20% rispetto ai primi tre mesi del medesimo anno.
Mostra una lieve flessione invece il dato relativo ai sistemi ICS esposti a minacce che, nel secondo trimestre del 2024, è sceso dello 0,9% rispetto ai tre mesi precedenti (assestandosi così al 23,5% contro il 24,4%).
Numeri di rilievo che devono fare riflettere e che rilanciano la necessità di implementare misure di sicurezza consone.
Non di meno, il report mette in evidenza la diffusione di spyware (backdoor, trojan e keylogger) il cui fine è quello di aprire brecce per favorire attacchi ransomware. Nello specifico, il 4,08% degli ICS è stato colpito da spyware rispetto al 3,9% del trimestre precedente.
A fare da corredo c’è la diffusione di malware per il mining di criptovalute. I sistemi ICS diventano alleati per ospitarne loro malgrado.
L’Africa è il continente più colpito (30% dei sistemi attaccati) mentre nell’Europa del Nord il tasso scende all’11,3%.
I rimedi per difendersi dagli attacchi
Prima di sciogliere il nodo che imbriglia il senso di questi attacchi, è opportuno fare un elenco dei metodi per ridurre il rischio e rendere la vita meno facile agli aggressori:
- audit periodici della sicurezza dei sistemi;
- aggiornamenti software e applicazioni di patch di sicurezza;
- uso di software appositi (anche Kaspersky offre piattaforma per la sicurezza degli ICS);
- diffondere la cultura cyber formando dipendenti e collaboratori. Dal canto loro, gli addetti alla cyber security devono essere in grado di conoscere il panorama delle minacce e le sue evoluzioni.
Riuscire a violare e compromettere un’infrastruttura critica ha ricadute che vanno al di là dell’operatività della stessa. Questo spiega perché finiscono volentieri nelle mire del cyber crimine, ma sotto la superficie si nasconde altro.
Ricostruiamo il quadro
Come scritto in apertura, c’è da capire il chi e il perché, soggetti e temi importanti per contestualizzare ciò che sta accadendo: gli attacchi hacker sono la parte visibile di moti sotterranei capaci di colpire intere Nazioni.
Gli attaccanti (il “chi”) che minano i sistemi industriali, come spiega l’ingegner Paganini, sono diversi: “Purtroppo molteplici categorie di attaccanti quotidianamente prendono di mira i sistemi industriali. Le principali motivazioni sono sicuramente politiche e finanziarie, attività di spionaggio ed estorsione rappresentano le principali attività malevole che osserviamo.
Premesso ciò, è importante evidenziare come dall’inizio del conflitto tra Russia e Ucraina si sia intensificata l’azione malevola da parte di gruppo di attivisti o pseudo tali.
Anche la situazione in Medio Oriente concorre ad alimentare l’azione da parte di gruppi di attivisti. Questa categoria opera principalmente con finalità di sabotaggio per esprimere un dissenso politico.
Sebbene l’azione da parte di gruppi Nation-state sia quella che temiamo maggiormente per le capacità di questa categoria di attaccanti, cresce la preoccupazione per attacchi condotti da criminali informatici. Questi attacchi includono azioni mirate contro sistemi ICS e SCADA così come attacchi opportunistici, e quindi non concepiti per minacciare principalmente un sistema industriale.
Va comunque sottolineato che questi attacchi possono avere conseguenze devastanti sulla sicurezza pubblica, soprattutto quando ad essere presi di mira sono sistemi in infrastrutture critiche”.
È il momento dei “perché”: è possibile che sia in corso una guerra intestina è molti Paesi stiano valutando il quadro nel suo insieme? “Purtroppo, siamo sotto costante attacco e l’attuale contesto geo-politico acuisce la pressione sulle infrastrutture digitali in tutto il mondo. Accanto alle guerre che stiamo osservando, vi sono tanti altri conflitti che si sviluppano in quello spazio senza frontiere che chiamiamo cyber spazio e che riconosciamo come il quinto dominio di guerra.
L’attività di threat intelligence è fondamentale per l’osservazione di questi fenomeni che hanno inevitabilmente un risvolto importante.
L’attenzione deve essere massima, sono preoccupato per le accresciute capacità di gruppi Nation-state Iraniani e Nordcoreani, i quali rappresentano una crescente minaccia per l’occidente”, conclude Pierluigi Paganini.
