Massima allerta sulla cybersecurity. In relazione all’evoluzione della situazione internazionale, l’Agenzia per la Cybersicurezza nazionale “rinnova fortemente la raccomandazione ad adottare misure di difesa cibernetica alte e massimi controlli interni per la protezione delle proprie infrastrutture digitali”. Inoltre, si raccomanda di seguire le indicazioni e gli aggiornamenti pubblicati sul portale e sul profilo Twitter del Csirt Italia (Computer Security Incident Response Team), “che contengono anche alcuni indicatori di compromissione rispetto ai più recenti attacchi cyber”.
Nei giorni giorni il Csirt aveva pubblicato una nota in merito ai possibili rischi cyber derivanti dalla situazione in Ucraina. “Risulta essere stato distribuito un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento sistema operativo in esecuzione”, spiegava il Csirt.
In questo senso si chiedeva – e oggi con l’invasione russa dei territori ucraini ancora di più – di adottare le migliori pratiche (scarica QUI il documento) in materia di cybersicurezza, “implementando urgentemente” gli indicatori di compromissione e di elevare il livello di attenzione adottando in via prioritaria le azioni di mitigazione necessarie.
Due le tipologie di misure consigliate: misure organizzative-procedurali e misure tecniche.
Misure organizzative-procedurali
Verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business. |
Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine. |
Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B) |
Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business). |
Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto. |
Incremento delle attività di monitoraggio e logging. |
Aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte. |
Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT). |
Designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale. |
Assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti. |
Esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici. |
Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud. |
Incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia. |
Misure tecniche
Prioritizzazione delle attività di patching dei sistemi internet-facing. |
Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse. |
Monitoraggio degli account di servizio e degli account amministratore per rilevare eventuali attività anomale. |
Monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie. |
Ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller. |
Monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione. |
Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR. |
Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell). |
Assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online). |
I cyberattacchi ai siti ucraini
Prima i siti web del ministero della Difesa e dell’esercito ucraino sono diventati oscuri. Quindi i clienti delle due maggiori banche statali del paese non hanno potuto accedere ai loro conti o, peggio, hanno visto i loro saldi improvvisamente azzerati. Messaggi di testo falsi da numeri polacchi, austriaci ed estoni sono comparsi sui loro telefoni, avvertendoli che gli sportelli automatici erano fuori uso. Lo racconta il Los Angeles Times evidenziando un altro aspetto dell’attacco russo verso l’Ucraina.
“Poi la palla di neve ha iniziato a rotolare”, ha detto l’ufficiale dell’intelligence Yuri Shchigol, mentre il massiccio assalto online del 15 febbraio ha travolto la banca centrale ucraina, l’ufficio del presidente, il ministero degli Esteri, il servizio di sicurezza e una serie di altri portali statali, disabilitando i loro siti web per ore.
A quell’attacco è seguito quello di ieri, che – scrive il Los Angeles Times – ha colpito diverse banche, nonché il parlamento nazionale, il Gabinetto dei ministri e i siti web del ministero degli Esteri. Ore dopo, mercoledì, il presidente russo Vladimir Putin ha annunciato che avrebbe proseguito con un’operazione militare in Ucraina. Gli ucraini si sono svegliati al suono delle esplosioni in quella che Putin ha definito la “smilitarizzazione” dell’Ucraina, chiedendo che l’esercito ucraino si ritirasse”.
“Per la maggior parte delle persone, l’inizio di questa guerra è l’attraversamento dei confini dell’Ucraina”, ha affermato Shchigol, a capo del servizio di intelligence tecnico e di sicurezza dell’Ucraina, noto come SssCip – scrive il Los Angeles Times – Ma la guerra nel cyberspazio è in corso e sono anni che monitoriamo e ci difendiamo dagli attacchi dalla Russia”. Nel frattempo, secondo il quotidiano Usa – lo spettro di attacchi informatici di livello superiore ha suscitato il timore che le ricadute possano colpire ben oltre l’Ucraina, soprattutto come rappresaglia da parte della Russia per sanzioni economiche più severe”.
Le stime di S&P
Il conflitto tra Russia e Ucraina potrebbe avere un impatto anche in termini di cybersicurezza. E l’impatto economico potrebbe superare 10 miliardi di dollari per nazioni e imprese. Lo afferma S&P Global ratings: l’agenzia rileva un forte rischio che l’Ucraina sia bersaglio di nuovi e mirati cyberattacchi. Questi attacchi hacker potrebbero anche espandersi oltre i confini ucraini per colpire altre nazioni e imprese dell’area limitrofa o oltre.
Un cyber attacco “potrebbe creare effetti a catena su imprese, governo e altri soggetti nella regione e al di fuori”, sottolinea Zahabia Gupta, analista di S&P. “Stiamo monitorando se questo tipo di attacchi possa diffondersi oltre i confini del Paese e le sue potenziali implicazioni” in termini economici.
Secondo S&P, l’impatto economico di un attacco hacker di vaste proporzioni legato alla crisi Russia-Ucraina potrebbe superare per i soggetti coinvolti i 10 miliardi di dollari stimati per l’attacco malware “NotPetya” del 2017, perché oggi il grado di interconnessione e digitalizzazione è molto superiore. “NotPetya” è stato lanciato in Ucraina nel 2017 causando per settimane lo stop dei sistemi digitali di circa 7.000 aziende in 65 Paesi.
I soggetti con una governance informatica e una gestione del rischio più deboli saranno maggiormente esposti a impatti sul rating.
S&P sta inoltre monitorando il potenziale impatto creditizio degli attacchi informatici sugli assicuratori e gli assicurati, date le clausole ancora ambigue di esclusione di rischi di guerra nelle polizze assicurative.