Conflitto Russia-Ucraina, come proteggersi dall’impatto cyber secondo Palo Alto Networks
Negli ultimi nove giorni, il conflitto tra Russia e Ucraina ha subito una rapidissima escalation, accompagnata da un aumento significativo degli attacchi informatici. Dal 15 febbraio è partita una serie di attacchi DDoS (distributed denial of service), proseguita nell’ultima settimana, che ha colpito sia il governo ucraino che gli istituti bancari del Paese. Il 23 febbraio, è stata scoperta in Ucraina una nuova variante di un malware wiper, denominato HermeticWiper. Poco dopo, è stata osservata una serie di attacchi di defacement di siti web con impatto sulle organizzazioni governative ucraine.
Come successo con i precedenti report di Unit 42, di Palo Alto Networks, sul tema, diversi governi occidentali hanno condiviso le loro raccomandazioni per preparare i propri cittadini a cyberattacchi che potrebbero interrompere, disabilitare o distruggere le infrastrutture critiche. La crisi in Ucraina ha già portato a un aumento dell’attività informatica russa, come riportato nel nostro Threat Brief del mese scorso e nel più recente report sul gruppo Gamaredon. Gli attacchi futuri potrebbero prendere di mira le organizzazioni di Stati Uniti ed Europa occidentale come ritorsione per l’aumento delle sanzioni o altre misure politiche contro il governo russo. Raccomandiamo a tutte le organizzazioni di prepararsi proattivamente a difendersi da questa potenziale minaccia.
Come prepararsi all’impatto informatico dell’escalation della crisi tra Russia e Ucraina
Non c’è una singola azione da intraprendere per proteggere le organizzazioni da questa minaccia. A differenza di una nuova famiglia malware o di una vulnerabilità emergente, gli attacchi potenziali potrebbero arrivare sotto molte forme. Numerosi governi occidentali hanno proposto raccomandazioni incentrate sull’igiene tecnica, che Unit 42 considera appropriate, data la varietà di tattiche che gli attori russi hanno usato in passato.
Si raccomanda alle organizzazioni di dare priorità ad azioni nelle seguenti quattro aree:
- Applicare patch ai software che si interfacciano con Internet e fondamentali per il business: applicare le patch per qualsiasi software contenente vulnerabilità – non solo quelle note per essere sfruttate in the wild. Si tratta di un’attività particolarmente urgente nel caso di software rivolto a Internet e necessario per le operazioni aziendali, come webmail, VPN e altre soluzioni di accesso remoto.
- Prepararsi al ransomware e/o alla distruzione dei dati: una probabile forma di attacco informatico utilizzerà il ransomware o un attacco distruttivo che si finge un ransomware. Come abbiamo visto con gli attacchi NotPetya nel 2017 e WhisperGate il mese scorso, un attacco che richiede un riscatto potrebbe non essere effettivamente un “ransomware”. Il malware utilizzato in questi attacchi ha distrutto i dati senza alcuna possibilità di recupero, utilizzando la richiesta di riscatto semplicemente per coprire la sua vera intenzione. L’uso di HermeticWiper lo dimostra ulteriormente. La preparazione necessaria per prevenire e ripristinare è simile in entrambi i casi. Testare i piani di backup e recovery è fondamentale, così come il piano di continuità delle operazioni nel caso in cui la rete o altri sistemi chiave fossero disabilitati nell’attacco.
- Prepararsi a reagire rapidamente: assicurarsi di designare punti di contatto nelle aree chiave dell’intera organizzazione, in caso di incidente o interruzione dell’infrastruttura critica. Testare il protocollo di comunicazione (e di backup) per evitare di essere sorpresi senza un chiaro meccanismo di diffusione delle informazioni critiche. Eseguire un’esercitazione con tutti gli attori chiave per capire come reagire nel caso in cui accadesse il peggio.
- Controllare più strettamente la rete: piccoli cambiamenti di policy possono ridurre la probabilità di un attacco di successo contro la rete. Recenti attacchi hanno abusato di popolari applicazioni chat come Trello e Discord per distribuire file pericolosi. Gli utenti non avevano bisogno di utilizzare il software per essere colpiti, perché gli attaccanti hanno semplicemente utilizzato le piattaforme per ospitare i link ai file. Molte applicazioni possono essere abusate in questo modo, e se non si tratta di funzionalità necessarie all’organizzazione, bloccarle migliorerà la postura di sicurezza.
Non c’è modo di sapere con certezza quale forma potrebbe assumere un attacco, ma adottare queste misure aiuterà a fornire un’ampia protezione.