L'invasione dell'Ucraina sta mostrando al mondo il significato di una "guerra ibrida". Il termine è stato creato da Frank Hoffman, per descrivere una guerra che si svolge su più fronti: guerra convenzionale, metodi irregolari, ad esempio, assegnazioni, e attacchi informatici. Mentre questo orribile spettacolo di aggressione si svolge, gli aspetti digitali della guerra moderna avranno un impatto su molte aziende in tutto il mondo.
Mentre le sirene suonano in tutta l'Ucraina, le organizzazioni devono anche suonare l'allarme sulle loro misure di sicurezza informatica. Ecco cosa devono affrontare le organizzazioni in questa guerra ibrida.
Una storia maligna: "Abbiate paura e aspettatevi il peggio"
La Russia ha una lunga storia di utilizzo di attacchi informatici come tattica per esercitare pressione e condurre una guerra per procura. I gruppi di hacker sostenuti dallo stato russo sono famosi per i massicci attacchi informatici contro le organizzazioni occidentali. Uno dei più grandi degli ultimi anni è stato l'attacco ransomware del 2021 alla U.S. Colonial Pipeline da parte della banda di hacker REvil.
Più recentemente, 70 siti web del governo ucraino sono stati deturpati in un attacco informatico con un messaggio di avvertimento sullo schermo che diceva "abbiate paura e aspettatevi il peggio". Un'analisi dell'attacco ha trovato segnali che l'intelligence russa era coinvolta; tuttavia, la Russia ha poi negato il coinvolgimento.
La negazione e la disinformazione sono tipiche tattiche di guerra che usano la confusione per "dividere e conquistare". Tuttavia, le prove si stanno accumulando: Il 74% del denaro estorto dagli attacchi ransomware nel 2021 è stato inviato ad hacker con associazioni russe. Con il senno di poi dobbiamo chiederci: questo denaro è stato poi messo da parte come cassa di guerra?
Mentre l'invasione dell'Ucraina si è svolta, sono stati effettuati ulteriori attacchi informatici contro il governo ucraino. Una dichiarazione sul blog di Microsoft del28 febbraio fornisce ulteriori informazioni:
"Il 24 febbraio, il Threat Intelligence Center di Microsoft (MSTIC) ha rilevato un nuovo ciclo di attacchi informatici offensivi e distruttivi diretti contro le infrastrutture digitali dell'Ucraina."Il blog menziona che una nuova variante di malware "FoxBlade" è stata trovata come parte di questi attacchi.
Una cosa è altamente probabile, l'invasione dell'Ucraina è una guerra ibrida, e gli attacchi informatici non saranno contenuti all'interno dell'Ucraina.
Sirene d'allarme di ulteriori attacchi informatici
Avvertimenti e avvisi sono stati pubblicati in tutto il mondo, avvertendo le aziende di aspettarsi un aumento della minaccia di attacchi informatici:
Nel Regno Unito, il National Cyber Security Centre (NCSC) ha pubblicato un avviso sul suo sito web che invita le aziende britanniche a rafforzare la loro "resilienza di sicurezza informatica in risposta agli incidenti informatici dannosi in Ucraina e dintorni."
Negli Stati Uniti, la CISA (Cyber security and Infrastructure Security Agency) ha pubblicato un avviso nella sua campagna 'Scudi in alto'su un nuovo gruppo ransomware, Conti, con collegamenti all'intelligence russa:
"Gli attori del ransomware Conti minacciano "misure di ritorsione" contro le infrastrutture critiche in risposta a "un attacco informatico o qualsiasi attività di guerra contro la Russia". "
In Australia, lo stato di allerta per un attacco informatico è impostato su ALTO e il governo sta affermando che le aziende sono "incoraggiate ad adottare urgentemente una posizione di sicurezza informatica rafforzata".
Allo stesso modo, in tutti i paesi europei, i governi stanno avvertendo le organizzazioni e i cittadini di prepararsi a un attacco informatico.
Una delle preoccupazioni circa la facilità con cui questi attacchi informatici saranno effettuati è che i criminali informatici sostenuti dai russi hanno trascorso anni a costruire il loro know-how sul malware e ad effettuare la ricognizione sulle tattiche di attacco di successo.
Nuovo malware, tattiche di successo
Sono già state identificate diverse nuove varianti di malware associate a bande di hacker russi. Queste sembrano essere basate sulla cancellazione dei dati e/o sul ransomware e sono estremamente dannose. Esempi sono HermeticWiper, e WhisperGate malware, che corrompe e/o cancella completamente i dati. Un altro, HermeticRansom, utilizza tecniche di estorsione per aggiungere l'impatto dannoso del malware.
Ulteriori ricerche hanno anche scoperto che vengono utilizzati malware 'worms'. I worms sono particolarmente pericolosi perché una volta entrati in un sistema, si autoreplicano e si propagano attraverso una rete, infettando le macchine e causando distruzione in tutta la rete. Una delle ultime scoperte si chiama HermeticWizard, un worm usato per diffondere il malware HermeticWiper.
I worm entrano in una rete utilizzando una varietà di metodi, tra cui e-mail, chiavette USB, link dannosi nei post dei social media, dispositivi IoT insicuri e così via.
Altre varianti di malware probabilmente entreranno nel panorama delle minacce mentre la guerra continua.
La CISA e l'FBI hanno pubblicato un avviso congiunto che spiega i pericoli di alcune delle ultime varianti di malware. L'avviso esorta le organizzazioni a:
"...aumentare la vigilanza e valutare le loro capacità che comprendono la pianificazione, la preparazione, il rilevamento e la risposta per un tale evento".
Queste nuove varianti di malware dipenderanno ancora da tattiche di successo consolidate, come il phishing e l'ingegneria sociale, per entrare in una rete. Quindi, come si prepara un'azienda a questa guerra ibrida?
Azioni per proteggere la sua azienda e i suoi dipendenti
I criminali informatici dietro questa sfilza di malware per la guerra cibernetica useranno metodi collaudati per portare l'infezione in modo rapido ed efficace. Le organizzazioni devono utilizzare le conoscenze dell'industria della sicurezza per battere i boccaporti. Le azioni di mitigazione dovrebbero includere quanto segue:
- Assicuratevi di avere la visibilità di tutte le vostre risorse IT, compresi tutti gli endpoint, lo stoccaggio e i flussi di dati, i server e altri dispositivi.
- Assicuratevi che la vostra rete estesa abbia solide misure di sicurezza associate a dispositivi, persone e luoghi. Per esempio, applicare un'autenticazione solida e utilizzare i principi di minimo privilegio applicati utilizzando la gestione dell'accesso privilegiato (PAM) per controllare l'accesso.
- Testate i vostri sistemi di gestione delle patch per assicurarvi che raggiungano tutti gli endpoint e i server.
- Impostare o testare un sistema di backup sicuro esistente.
- Mettete la vostra azienda in allerta e sostenetela con un Security Awareness Training focalizzato sulla minaccia: aumentate la vostra formazione con la valutazione continua della situazione, e usate simulazioni di phishing per educare il vostro staff sulle probabili campagne di phishing associate all'invasione.
- Monitorate l'attività della vostra rete e dei punti d'accesso e controllate l'accesso alle porte per possibili vulnerabilità.
- Rimuovere o disabilitare tutte le app inutilizzate.
- Controlla, aggiorna e migliora la tua pianificazione e strategia di recupero dei disastri
Queste sono alcune delle aree chiave che hanno bisogno di essere rafforzate in questo periodo di minacce più intense.
Essere preparati agli attacchi di ritorsione
Ora c'è anche un avvertimento che un attacco cibernetico a uno stato membro della NATO farebbe scattare l' articolo 5, della sua clausola di difesa collettiva. La guerra digitale e la guerra convenzionale potrebbero finire per convergere con l'inizio dell'escalation. Gli attacchi di rappresaglia sono un'alta probabilità, e la migliore difesa è la consapevolezza e la preparazione.
