L’invasione dell’Ucraina sta mostrando al mondo il significato di “guerra ibrida”. Il termine è stato creato da Frank Hoffman per descrivere una guerra che si svolge su più fronti: guerra convenzionale, metodi irregolari come le assegnazioni e attacchi informatici. Mentre questa spaventosa dimostrazione di aggressività si svolge, gli aspetti digitali della guerra moderna avranno un impatto su molte aziende in tutto il mondo.

Mentre le sirene suonano in tutta l’Ucraina, anche le organizzazioni devono lanciare l’allarme sulle loro misure di sicurezza informatica. Ecco cosa devono affrontare le organizzazioni in questa guerra ibrida.

Una storia maligna: “Abbi paura e aspettati il peggio”

La Russia ha una lunga storia di utilizzo degli attacchi informatici come tattica per esercitare pressione e per condurre una guerra per procura. I gruppi di hacker sostenuti dallo stato russo sono famosi per i massicci attacchi informatici contro le organizzazioni occidentali. Uno dei più grandi degli ultimi anni è stato l’attacco ransomware del 2021 contro gli Stati Uniti. Colonial Pipeline della banda di hacker, REvil.

Più recentemente, 70 siti web del governo ucraino sono stati deturpati in un attacco informatico con un messaggio di avvertimento sullo schermo che diceva “abbiate paura e aspettatevi il peggio“. Un’analisi dell’attacco ha rilevato segnali che indicano il coinvolgimento dell’intelligence russa; tuttavia, la Russia ha successivamente negato il coinvolgimento.

La negazione e la disinformazione sono le tipiche tattiche di guerra che la confusione usa per “dividere e conquistare”. Tuttavia, le prove si stanno accumulando: Il 74% del denaro estorto dagli attacchi ransomware nel 2021 è stato inviato ad hacker con associazioni russe. Con il senno di poi dobbiamo chiederci: questo denaro è stato poi messo da parte come cassa di guerra?

Con l’invasione dell’Ucraina, sono stati sferrati altri attacchi informatici contro il governo ucraino. Una dichiarazione sul blog di Microsoft del28 febbraio fornisce ulteriori informazioni:

Il 24 febbraio, il Microsoft’s Threat Intelligence Center (MSTIC) ha rilevato un nuovo ciclo di attacchi informatici offensivi e distruttivi diretti contro l’infrastruttura digitale dell’Ucraina“. Il blog menziona che una nuova variante di malware “FoxBlade” è stata trovata come parte di questi attacchi.

Una cosa è altamente probabile: l’invasione dell’Ucraina è una guerra ibrida e gli attacchi informatici non saranno contenuti all’interno dell’Ucraina.

Sirene di allarme per ulteriori attacchi informatici

In tutto il mondo sono stati pubblicati avvisi e raccomandazioni che avvertono le aziende di aspettarsi un aumento della minaccia di attacchi informatici:

Nel Regno Unito, il National Cyber Security Centre (NCSC) ha pubblicato un avviso sul proprio sito web in cui esorta le aziende britanniche a rafforzare la propria “resilienza in materia di sicurezza informatica in risposta agli incidenti informatici dolosi verificatisi in Ucraina e nei dintorni”.

Negli Stati Uniti, la CISA (Cyber security and Infrastructure Security Agency) ha pubblicato un avviso nell’ambito del suo ‘Shields Upriguardo a un nuovo gruppo di ransomware, Conti, con legami con l’intelligence russa:

Gli attori del ransomware Conti minacciano “misure di ritorsione” che colpiscono le infrastrutture critiche in risposta a “un attacco informatico o a qualsiasi attività di guerra contro la Russia.

In Australia, lo stato di allerta per un attacco cibernetico è stato portato ad un livello elevato e il governo ha dichiarato che le aziende sono “incoraggiate ad adottare con urgenza una posizione di sicurezza informatica rafforzata“.

Allo stesso modo, in tutti i paesi europei, i governi stanno avvertendo le organizzazioni e i cittadini di prepararsi a un attacco informatico.

Una delle preoccupazioni sulla facilità di esecuzione di questi attacchi informatici è che i criminali informatici sostenuti dalla Russia hanno trascorso anni a sviluppare il loro know-how in materia di malware e a effettuare ricognizioni sulle tattiche di attacco di successo.

Nuove minacce informatiche, tattiche di successo

Sono già state identificate diverse nuove varianti di malware associate a bande di hacker russi. Queste sembrano basarsi sulla cancellazione dei dati e/o sul ransomware e sono estremamente dannose. Alcuni esempi sono HermeticWiper e Il malware WhisperGate, che corrompe e/o cancella completamente i dati. Un altro, HermeticRansom, utilizza tecniche di estorsione per aumentare l’impatto dannoso del malware.

Ulteriori ricerche hanno inoltre rilevato l’utilizzo di “worm” malware. I worm sono particolarmente pericolosi perché, una volta entrati in un sistema, si auto-replicano e si propagano attraverso la rete, infettando i computer e causando distruzione in tutta la rete. Una delle ultime scoperte si chiama HermeticWizard, un worm utilizzato per diffondere il malware HermeticWiper.

I worm entrano in una rete utilizzando una serie di metodi, tra cui e-mail, chiavette USB, link malevoli nei post dei social media, dispositivi IoT non sicuri e così via.

È probabile che ulteriori varianti di malware entrino nel panorama delle minacce con il proseguire della guerra.

Il CISA e l’FBI hanno pubblicato un avviso congiunto che illustra i pericoli di alcune delle più recenti varianti di malware. L’avviso invita le organizzazioni a:

“…aumentare la vigilanza e valutare le loro capacità di pianificazione, preparazione, rilevamento e risposta a un evento del genere“.

Queste nuove varianti di malware dipenderanno ancora da tattiche di successo consolidate, come il phishing e il social engineering, per entrare in una rete. Come può un’azienda prepararsi a questa guerra ibrida?

Azioni per proteggere la tua azienda e i tuoi dipendenti

I criminali informatici che si celano dietro questa ondata di malware da guerra informatica utilizzeranno metodi collaudati per infettare in modo rapido ed efficace. Le organizzazioni devono sfruttare le conoscenze dell’industria della sicurezza per ridurre i rischi. Le azioni di mitigazione dovrebbero includere quanto segue:

  • Assicurati di avere visibilità di tutte le tue risorse IT, compresi tutti gli endpoint, i flussi e lo storage dei dati, i server e gli altri dispositivi.

  • Assicurati che la tua rete estesa abbia solide misure di sicurezza associate a dispositivi, persone e luoghi. Ad esempio, applica un’autenticazione solida e utilizza i principi del minimo privilegio, utilizzando la gestione degli accessi privilegiati (PAM) per controllare l’accesso.

  • Verifica i sistemi di gestione delle patch per assicurarti che raggiungano tutti gli endpoint e i server.

  • Crea o prova un sistema di backup sicuro già esistente.

  • Metti la tua azienda in stato di massima allerta e sostienila con una formazione di sensibilizzazione alla sicurezza incentrata sulla minaccia: aumenta la tua formazione con una valutazione continua della situazione e utilizza simulazioni di phishing per educare il tuo personale sulle probabili campagne di phishing associate all’invasione.

  • Monitora l’attività della tua rete e dei punti di accesso e controlla l’accesso alle porte per individuare eventuali vulnerabilità.

  • Rimuovi o disattiva tutte le app inutilizzate.

  • Controlla, aggiorna e migliora la tua pianificazione e la tua strategia di ripristino in caso di disastro

Queste sono solo alcune delle aree chiave che devono essere rafforzate in questo periodo di maggiore minaccia.

Preparati agli attacchi di ritorsione

Ora si avverte anche che un attacco informatico a uno Stato membro della NATO farebbe scattare l’ articolo 5 della clausola di difesa collettiva. La guerra digitale e la guerra convenzionale potrebbero finire per convergere con l’inizio dell’escalation. Gli attacchi di rappresaglia sono altamente probabili e la migliore difesa è la consapevolezza e la preparazione.

Formazione di sensibilizzazione sulla sicurezza per i fornitori di terze parti