Allarme attacchi hacker russi, anche Italia a rischio: come difendersi

Giulia Adonopoulos

24/02/2022

Il conflitto tra Russia e Ucraina potrebbe trascinare le aziende italiane e le infrastrutture cruciali in una più ampia crisi di cybersicurezza. Ecco cosa sta succedendo e chi rischia di più.

Allarme attacchi hacker russi, anche Italia a rischio: come difendersi

Crescono le preoccupazioni di potenziali attacchi informatici su larga scala mentre il conflitto tra Russia e Ucraina (qui tutti gli aggiornamenti in diretta) entra nella sua fase più calda fino ad oggi.

Non sorprende che diversi Paesi, tra cui l’Italia (tramite l’Autorità nazionale per la cybersicurezza), abbiano emanato avvisi relativi a un possibile aumento di cyber-attacchi e linee guida per le aziende su come affrontare le crescenti minacce. Anche la Bce ha avvertito le istituzioni finanziarie europee del rischio di attacchi informatici russi come ritorsione in caso di sanzioni economiche.

Russia-Ucraina: la guerra è anche cibernetica

Dall’inizio del conflitto nel 2014 l’Ucraina è stata oggetto di regolari attacchi informatici che Kiev ha attribuito a Mosca. Oggi le società di sicurezza informatica Eset e Symantec di Broadcom hanno scoperto un malware di tipo wiper le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione. Il virus è stato soprannominato HermeticWiper e mostra che i preparativi per gli attacchi potrebbero essere in corso da quasi due mesi.

È la seconda grande infezione dell’anno dei sistemi informatici ucraini dopo l’operazione WhisperGate di metà gennaio. Gli attacchi wiper seguono anche una terza massiccia ondata di attacchi DDoS che hanno colpito due delle più grandi banche del Paese, PrivatBank e Oschadbank, i siti web del Ministero della Difesa ucraino e delle Forze armate. I governi del Regno Unito e degli Stati Uniti hanno puntato il dito sulla Direzione principale dell’intelligence russa (Gru), ma il Cremlino ha respinto le accuse. Le autorità ucraine, riporta il Guardian, sono certe che gli hacker si stanno preparando a lanciare una serie di importanti attacchi contro agenzie governative, banche e settore della difesa. Le formidabili forze informatiche della Russia, meno visibili di quelle militari, si starebbero quindi preparando a scatenare una nuova ondata di attacchi informatici all’infrastruttura energetica, finanziaria e delle comunicazioni ucraine e occidentali.

Agli occhi di molti il conflitto in Ucraina presenta forse il rischio informatico più grande che si sia mai presentato finora alle società occidentali, in primis ai Paesi della Nato.

Guerra Ucraina: i rischi per la sicurezza informatica in Italia

In Italia il Csirt (Computer Security Incident Response Team) ha pubblicato un avviso sui Rischi cyber derivanti dalla situazione in Ucraina in cui si raccomanda di elevare il livello di attenzione adottando azioni per proteggersi dagli attacchi.

Ciò da cui si mette in guardia sono i possibili impatti collaterali a carico di infrastrutture Ict interconnesse con il cyberspazio ucraino, in particolare enti, organizzazioni e aziende che hanno rapporti con aziende e banche ucraine o con cui abbiano interconnessioni telematiche come ad esempio connessioni B2b, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative. Gli attacchi hacker indirizzati a soggetti ucraini possono infatti estendersi a infrastrutture contigue come in passato hanno dimostrato infezioni di portata globale come NotPetya e Wannacry.

Come proteggersi dagli attacchi hacker

Le aziende devono aspettarsi un’escalation di crimini informatici a causa della crisi Russia-Ucraina. “Pertanto, in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza e al rispetto delle misure previste dalla legislazione vigente, scrive il CSRT, si raccomanda di elevare il livello di attenzione adottando in via prioritaria, le seguenti azioni di mitigazione”.

Ecco cosa devono fare le aziende italiane per proteggersi dal rischio crescente di attacchi hacker legati alla situazione ucraina: qui di seguito le raccomandazioni dell’Agenzia nazionale per la cybersicurezza sulle azioni da intraprendere.

  • Verifica della consistenza e disponibilità offline dei backup necessari al ripristino in particolare dei servizi di core business.
  • Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine.
  • Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B)
    Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business).
  • Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto.
  • Incremento delle attività di monitoraggio e logging.
  • Aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte.
  • Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT).
  • Designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale.
  • Assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti.
  • Esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici.
  • Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud.
  • Incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia.
    Misure tecniche
    Prioritizzazione delle attività di patching dei sistemi internet-facing.
  • Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse.
  • Monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale.
  • Monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie.
  • Ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller.
  • Monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione.
  • Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR.
  • Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell).
  • Assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online).

Leggi anche:

Iscriviti a Money.it