L’11 maggio di quest’anno diversi siti web italiani, tra cui il Senato della Repubblica, il Ministero della Difesa e l’Istituto Superiore di Sanità, sono stati oscurati e rimasti irraggiungibili per diverse ore. Questo è stato il primo giorno di un attacco informatico di lunga durata che ha preso di mira vari siti web in Italia e in diversi altri Paesi.
Prima che a finire nel mirino di KillNet ci fosse l’Italia, negli ultimi mesi il gruppo aveva preso di mira aziende governative e private anche in altri Paesi, tra cui Stati Uniti, Estonia, Lettonia, Germania, Polonia, Repubblica Ceca e Ucraina.
I gruppi criminali filorussi KillNet e Legion hanno rivendicato la responsabilità degli attacchi DDoS (Distributed Denial of Service) per i quali è stato utilizzato il malware Mirai, sul loro canale Telegram soprannominato Legion – Cyber special forces of RF.
Cyber gang: chi sono e come agiscono i gruppi criminali più pericolosi
Indice degli argomenti
Una call to action del cyber crime
Inoltre, KillNet ha annunciato una serie di attacchi rivolti a obiettivi italiani, pubblicando sullo stesso canale un elenco delle loro risorse online che includeva siti web di enti statali, autorità energetiche, nonché entità nei settori delle telecomunicazioni, dei trasporti e dei media.
La call to action invitava i membri del collettivo a condurre un attacco DDoS prolungato di 48 ore sui siti web target, come ritorsione contro i Paesi che si stavano opponendo alla Russia.
Di conseguenza, il Computer Security Incident Response Team (CSIRT) italiano ha emesso un’allerta rivolta alle organizzazioni del settore pubblico e privato in merito ad un aumento del rischio di attacchi informatici da parte di cybercriminali filorussi.
Gli attacchi sono stati segnalati il 20 maggio dalla Polizia Postale italiana incaricata di combattere la criminalità informatica, la quale ha dichiarato di aver risposto bloccando e analizzando l’enorme quantità di indirizzi IP stranieri che facevano parte degli attacchi DDoS. Hanno quindi segnalato gli attacchi al Consiglio Superiore della Magistratura, all’autorità doganale e ai ministri degli Affari esteri, dell’Istruzione e dei Beni culturali, tutti indicati nei post di KillNet.
Una vera e propria guerra ibrida
Questo scenario desta non poche preoccupazioni per la sicurezza informatica in Italia, tenuto anche conto del panorama delle minacce a livello globale e l’effetto domino che il conflitto russo-ucraino sta avendo sul resto del mondo. Le parti coinvolte stanno pubblicamente combattendo una vera e propria guerra ibrida che unisce a quella convenzionale anche tutta una serie di azioni all’interno del cyber-spazio.
Dopo l’invasione, entrambe le parti hanno condotto attacchi contro le infrastrutture IT e OT, violando i sistemi e distribuendo disk wipers, ransomware e altre minacce informatiche, con l’intento di causare distruzione e danni. Gli attori dietro gli attacchi hanno dimostrato di essere sponsorizzati dallo Stato o hacktivisti che agiscono per ideologia, il che ridefinisce lo scenario della minaccia.
Lo scenario che si sta delineando oggi è quello fatto da threat actor nuovi e sconosciuti che agiscono indisturbati ed emergono solo quando è troppo tardi per poter intraprendere azioni di contrasto nei loro confronti. Ecco perché l’utilizzo di servizi di intelligence per rilevare questi gruppi criminali è l’unico modo per comprenderli meglio e provare a fermarli.
Risposta agli incidenti
Oggi, quando si parla di attacchi informatici non è più solo una questione di “se” ma di “quando” le aziende si verrà colpiti e a questo bisognerebbe prepararsi impostando un piano di risposta agli incidenti. Si tratta di un insieme di strumenti e procedure che il team di sicurezza può utilizzare per identificare e eliminare una minaccia, rispondere ad un incidente di sicurezza e provvedere al ripristino.
Questi strumenti sono progettati per aiutare il team a rispondere rapidamente e all’unisono a qualsiasi tipo di minaccia. La presenza di questo piano aiuta l’azienda a riprendersi più rapidamente, riducendo le potenziali conseguenze di un attacco informatico.
Allo stesso modo, nonostante l’ampia gamma di strumenti e soluzioni di sicurezza disponibili, una sicurezza informatica efficace va ben oltre l’acquisto di un prodotto. Deve essere sviluppata in modo proattivo, attraverso una combinazione di politiche, cultura e soluzioni. Deve essere vista come un processo continuo, con controlli costanti e un obiettivo di miglioramento continuo.
Condurre regolarmente security assessment e penetration test dell’organizzazione e dei suoi asset aiuta ad acquisire consapevolezza circa le vulnerabilità e il modo in cui potrebbero essere sfruttate. Acquisire in tempi utili informazioni sui punti deboli dell’azienda consente di eliminare le falle di sicurezza e ridurre la superficie di attacco.
In definitiva, anche se un’organizzazione non è presente all’interno di un elenco come quello di KillNet, non significa che non sia un potenziale bersaglio, è più probabile che l’organizzazione non sia a conoscenza di quanto sta accadendo al di fuori del perimetro del proprio ufficio. Infatti, dal punto di vista della sicurezza informatica, gli attaccanti sono ad un solo clic di distanza dalle risorse aziendali più critiche.
Difesa proattiva
Tutte le organizzazioni sono potenziali vittime di attacchi cyber come quelli perpetrati da KillNet e proprio per questo motivo dovrebbero disporre del maggior numero di informazioni possibili sulle minacce, compreso il modo in cui i gruppi operano, il motivo per cui sono o potrebbero essere un obiettivo e l’entità di eventuali attacchi subiti. Tutte queste informazioni dovrebbero essere a disposizione dell’azienda prima che si verifichi un attacco. Solo attraverso la threat intelligence le aziende possono prepararsi agli incidenti, evitarli e, nel caso in cui si verifichino, essere in grado di mitigarli.
Prendiamo ad esempio KillNet. È noto per gli attacchi DDoS, ma utilizza anche altre tecniche? È un gruppo associato ad altri tipi di attacchi, come ransomware o simili? In questo caso sembrano agire per conto del governo russo contro l’Ucraina, ma hanno altre motivazioni?
Essere in grado di rispondere a queste domande in anticipo può fare la differenza tra un’interruzione temporanea del servizio, che può durare pochi minuti o ore, e un’interruzione importante dell’attività, che potrebbe distruggere i sistemi critici e sottrarre dati preziosi.
Inoltre, la corsa alla digitalizzazione degli ultimi anni in diversi settori di business ha moltiplicato il numero di modi in cui documenti e dati possono essere condivisi ma anche rubati e, d’altro canto, ci ha permesso di rintracciare i dati in rete. Internet può essere paragonato a un gigantesco archivio di informazioni che può tornare utile per molti scopi, compresi gli attacchi informatici.
Violazioni non rilevate
Tutte le organizzazioni dovrebbero conoscere quali sono i propri dati disponibili sul web e in particolare, comprendere se sono stati esposti nella dark net. Nel migliore dei casi, questi dati sono il risultato di una violazione non rilevata che potrebbe comportare multe e danni alla reputazione. Nel peggiore dei casi, i dati potrebbero essere sfruttati per attaccare l’azienda e mettere a rischio la continuità aziendale e la sopravvivenza.
Le credenziali rubate possono essere estremamente pericolose e vengono utilizzate dagli attaccanti per distribuire ransomware in tempi brevissimi o anche solo per esfiltrare i dati, causando gravi danni all’azienda. Senza un’adeguata sorveglianza, l’incidente potrebbe addirittura passare inosservato fino a quando la vittima non si troverà a doverne affrontare le conseguenze.
Questa è solo la punta dell’iceberg in termini di informazioni preziose che le soluzioni di intelligence possono offrire alle aziende ogni giorno per ridurre in modo proattivo la superficie di attacco e migliorare la risposta.
Essere preparati è la migliore difesa quando si parla di sicurezza informatica, poiché gli incidenti sono inevitabili. Nessuno è immune e ci sono buone probabilità che sia già successo ma semplicemente non lo si sappia ancora. Si tratta solo di capire quando, come e quanto sarà esteso il danno.
La difesa proattiva è la base della sicurezza informatica e aiuta a costruire una posizione di sicurezza che potrebbe garantire la continuità aziendale nel caso in cui si concretizzi lo scenario peggiore.
